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(57) Abstract: The invention relates to a method for the on-line exchange of contents data, comprising the following method steps: 
reception of a code entered by a user on an interface device (4a-c), transmission of a first read request from said interface device 
to a first server device (3), in which are stored the respective personal cryptographic data for a number of users encoded by using a 
respective authentic code for said user, reception of the encoded personal cryptographic data for said user in said interface device, 
decoding said personal cryptographic data by means of said entered code when the entered code corresponds to the authentic code 
for the user, use of said personal cryptographic data to secure an exchange of contents data between said interface device and at least 
one second server device (2a-b) and erasure of said entered code and said personal cryptographic data from said interface device. 

[Suite sur la page suivante] 



0 03/107587 Al I Hill ID1ILI! II III1IE Hill llli I II 111 Mill 11111 EIIIE Ulll {III) EIIJ I1IIID fill Nil II1I 



europeen (AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, 
FR, GB, GR, HU, IE, IT, LU, MC, NL, PT, RO, SE, SI, SK, 
TR), brevet OAPI (BF, BJ, CF, CG, CI, CM, GA, GN, GQ, 
GW, ML, MR, NE, SN, TD, TG). 

Publiee : 
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tions, se referer aux "Notes explicatives relatives aux codes et 
abreviations" figurant au debut de chaque numero ordinaire de 
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(57) Abrege : Precede" pour echanger des donnees de contenu en ligne, comportant les Stapes consistant a: recevoir un code entre 
par un utilisateur dans un dispositif d'interface (4a-c), envoyer une premiere requete de lecteur depuis ledit dispositif d'interface a un 
premier dispositif serveur (3) dans lequel sont stockees des donnees personnelles cryptographiques respectives d'une plurality d'uti- 
lisateurs, chiffrdes au moyen d'un code authentique respectif dudit utilisateur, recevoir les donnees personnelles cryptographiques 
chiffrees dudit utilisateur dans ledit dispositif d'interface, dSchiffrer lesdites donnees personnelles cryptographiques au moyen dudit 
code entr6 lorsque ledit code entnS correspond audit code authentique de V utilisateur, utiliser lesdites donnees personnelles cryp- 
tographiques pour prot£ger un echange de donnees de contenu entre ledit dispositif d* interface et au moins un deuxieme dispositif 
serveur (2a-b), supprimer ledit code entr£ et lesdites donnees cryptographiques personnelles dudit dispositif d'interface. 
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PROCEDE ET DISPOSITIF D 'INTERFACE POUR ECHANGER DE 
MANIERE PROTEGEE DES DONNEES DE CONTENU EN LIGNE 

La presente invention concerne un procede et un dispositif 
d' interface pour echanger de maniere protegee des donnees de contenu 
5 en ligne. 

Le developpement des reseaux de transport de donnees 
permet de concevoir et d'utiliser de nombreux services accessibles en 
ligne, c'est-a-dire accessibles a distance via un reseau de transport de 
donnees. Des exemples de tels services sont le commerce electronique, 

10 la diffusion de programmes audio-visuels, le courrier electronique, les 
services de gestion bancaire et financiere en ligne, l'acces aux banques 
de donnees et Faeces nomade a un bureau virtuel, entre autres. Ce type 
de service est generalement rendu accessible par le fournisseur du 
service au moyen d'un ou plusieurs serveur(s) de donnees relie(s) au 

15 reseau de transport de donnees. L 'utilisation de tels services implique 
d'echanger des donnees de contenu, c'est-a-dire des donnees qui 
vehiculent le contenu du service, entre un dispositif d'interface 
d 'utilisation et au moins un serveur du fournisseur du service, via le 
reseaux de transport de donnees. 

20 Or ces donnees de contenu presentent generalement un 

caractere personnel ou reserve pour Putilisateur et/ou pour le fournisseur 
du service. Pour empecher tout tiers d'acquerir et d'utiliser des donnees 
de contenu qui ne lui sont pas destinees, il est done necessaire de 
proteger les echanges de donnees de contenu contre differents risques. 

25 Ces risques peuvent tenir notamment a l'existence d'incertitudes quant a 
l'identite de l'expediteur ou du destinataire des donnees echangees et 
aux possibilites de detournement ou d'alteration des donnees au cours de 
leur transport depuis l'expediteur jusqu'au destinataire legitime. II faut 
ici comprendre les termes de destinataire et d'expediteur comme 

30 designant des ordinateurs ou appareils similaires relies a un reseau de 
transport de donnees ou les utilisateurs ou les exploitants de tels 
ordinateurs ou appareils. 

On connait differentes methodes cryptographiques pour 
assurer une telle protection. Par exemple, les methodes de signature 

35 electronique permettent a tout destinataire d'un message de verifier 
l'identite de l'expediteur et de verifier que le contenu du message n'a pas 
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ete altere au cours de son transport. Les m6thodes d'authentification 
permettent de verifier l'identite du correspondant avec lequel l'echange 
de donnees est effectue. Les methodes de chiffrement, symetriques ou 
asymetriques, permettent de mettre les donnees dans une forme 

5 inutilisable par tout tiers autre que leur destinataire legitime. Ces 
m6thodes cryptographiques connues peuvent Stre combinees selon les 
besoins de chaque application. 

La mise en oeuvre de ces m6thodes cryptographiques 
requiert l'emploi d'un dispositif d'interface capable d'effectuer des 

10 calculs complexes, c'est-a-dire d'un dispositif assimilable a un 
ordinateur au sens large du terme, comme une station de travail, un 
telephone cellulaire, un assistant numerique personnel, un micro- 
ordinateur, un decodeur de tel6vision ou une carte a puce. Cette mise en 
oeuvre est generalement possible a l'aide d'une implantation logicielle 

15 de la methode sur le dispositif d'interface, implantation logicielle qui 
peut etre eventuellement publique. 

Cependant, l'implantation logicielle ou materielle de la 
methode cryptographique, quelle qu'elle soit, n'est utilisable par une 
personne pour proteger des donnees de contenu que lorsque cette 

20 implantation est configuree au moyen de donnees cryptographiques 
personnelles, c'est-a-dire specifiques a cette personne. II existe des 
donnees cryptographiques personnelles qui sont a usage public, comme 
une cle publique permettant a tout tiers de verifier les signatures 
electroniques emises par cette personne, et des donnees cryptographiques 

25 personnelles qui sont a usage prive, comme une cle priv6e permettant a 
la personne d'emettre sa signature propre. II est imperatif de conserver 
secretes ces donnees cryptographiques personnelles, du moins celles qui 
sont a usage priv6. En effet, si une personne autre que le proprietaire 
authentique des donnees cryptographiques personnelles prend possession 

30 de celles-ci, cette personne peut utiliser tous les services en ligne au nom 
du proprietaire authentique et sans etre facilement demasqu6e. 

On connait plusieurs solutions pour conserver de telles 
donn6es cryptographiques personnelles. 

Une premiere solution consiste a utiliser des donnees 

35 cryptographiques personnelles qui sont intrinseques a leur proprietaire et 
ne necessitent done pas de moyen de stockage materiel. Ce type de 
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donnees cryptographiques personnelles englobe les mots de passe 
memorises par leur proprietaire et les donnees biometriques, comme les 
empreintes digitales et les images retiniennes. 

L 'inconvenient des donnees biometriques est de requerir 
5 l'emploi d'un lecteur specifique dont le cout est elev6 et dont l'emploi 
n'est pas tres repandu. De plus, les donnees biometriques ont une 
configuration fixe qu'il n'est pas possible d'adapter a tous les formats 
utiles, par exemple pour leur emploi dans les methodes standard 
d'authentification et de chiffrement tels que OpenPGP (acronyme de 

10 F anglais : Open Pretty Good Privacy), S/MIME (acronyme de 1 'anglais : 
Secure Multipurpose Internet Mail Extensions), SSL (acronyme de 
Fanglais : Secure Socket Layer). 

L'inconvenient des mots de passe est qu'ils imposent un 
compromis, pas toujours acceptable, eritre s6curite et ergonomie. En 

15 effet, plus le mot de passe est court, plus sa memorisation est aisee mais 
plus le cMffrement qui repose sur le mot de passe est aise a casser par 
une recherche systematique, du fait du nombre reduit de combinaisons a 
essayer. Inversement, plus le mot de passe est long, plus le niveau de 
securit6 du chiffrement correspondant est eleve, mais plus la 

20 memorisation devient difficile. Ecrire le mot de passe sur un aide- 
memoire entraine des risques de divulgation et un oubli du mot de passe 
par son proprietaire entraine un risque de pertes des donnees qu'il a servi 
a chiffrer. 

Une deuxieme solution connue consiste a stocker les 
25 donnees cryptographiques personnelles localement sur Fappareil qui met 
en oeuvre la methode cryptographique dans laquelle lesdites donn6es sont 
exploitees. Cette solution consiste par exemple a stocker ces donnees sur 
le disque dur d'un micro-ordinateur servant de dispositif d'interface 
d'utilisation des services en ligne ou dans la memoire non volatile d'un 
30 telephone cellulaire. 

Les inconvenients de cette solution sont multiples : une 
personne ne peut echanger de maniere protegee des donnees de contenu 
qu'en utilisant Funique appareil sur lequel ses donnees cryptographiques 
personnelles sont stockees. II n'est alors possible d'utiliser des services 
35 en ligne que depuis un lieu unique, a moins d'utiliser un appareil portatif 
et de Femporter en tout lieu d'utilisation des services. De plus, les acces 
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a l'appareil doivent etre controles, pour empecher l'acces d'une personne 
non autorisee aux donnees cryptographiques personnelles. L'appareil 
peut bien etre place dans une chambre forte ou un environnement 
protege similaire dans certains cas, mais cette mesure n'est pas 

5 compatible avec tous les contextes d'utilisation des services en ligne, par 
exemple avec le contexte d'une utilisation nomade depuis un telephone 
cellulaire. En outre, si l'appareil doit servir a plusieurs utilisateurs, il doit 
alors stocker les donnees cryptographiques personnelles de tous les 
utilisateurs potentiels, ce qui augmente le volume de stockage necessaire. 

10 Enfin, les donnees cryptographiques personnelles peuvent Stre 
irremediablement perdues en cas de destruction, de disparition ou de 
panne de l'appareil. 

La duplication des donnees cryptographiques personnelles 
sur plusieurs appareils ne resout pas tous ces problemes. Au contraire, 

15 elle rend un contrdle des acces aux multiples appareils plus difficile a 
effectuer. 

Dans le cas des ordinateurs de bureau, on connait aussi une 
troisieme solution combinant les deux solutions susmentionnees. Les 
donnees cryptographiques personnelles sont stockees localement sur 
20 l'ordinateur mettant en oeuvre les methodes cryptographiques dans 
lesquelles elles sont exploit6es, mais ce stockage est realise sous une 
forme chiffree symetriquement a l'aide d'une cle derivee d'un mot de 
passe. Les standards PKCS#12 et OpenPGP decrivent cette troisieme 
solution. 

25 Un inconvenient de cette troisieme solution connue reside 

dans le fait qu'un tiers ayant pris possession de l'appareil dispose de tous 
les moyens de tenter de se procurer les donnees cryptographiques 
personnelles en cassant leur chiffrement par des essais systematiques de 
mots de passe, ce qui constitue une attaque dite « par dictionnaire ». 

30 Une quatrieme solution connue consiste a stocker les 

donnees cryptographiques personnelles sur une carte a puce. Le 
document EP 1 150 506 A2 decrit un systeme utilisant cette solution 
pour une application de diffusion de donnees video numeriques. 

Une carte a puce est facile a transporter et peut Stre blindee. 

35 Toutefois, la r6sistance du blindage depend du cout et du format de la 
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carte a puce. II est conmi que celui des cartes a puce usuelles peut etre 
perce avec succes avec un budget de l'ordre de 10 4 Euros. 

Les inconvenients de cette quatrieme solution sont 
egalement la necessite d'emporter la carte a puce en tout lieu 
5 d'utilisation des services, la necessite de disposer d'un lecteur 
compatible sur le lieu d'utilisation, les risques de perte des donnees 
ciyptographiques personnelles en cas de destruction, de disparition ou de 
panne de la carte a puce, et les risques de pertes de donnees de contenu 
chiffrees qui s'ensuivent. 
10 US-A-5 491 752 decrit un procede pour recuperer une cle 

privee sur un serveur distant depuis une station de travail agissant au 
nom d'un utilisateur, dans lequel : 

- l'utilisateur entre son mot de passe dans la station de 

travail ; 

15 - la station de travail transforme le mot de passe en c\6 de 

chiffrement symetrique par application d'un algorithme de hachage ; 

-la station de travail demande au serveur distant la cle 
privee de l'utilisateur, qui est stock6e sur le serveur distant sous forme 
chiffree au moyen de la cle symetrique derivee du mot de passe ; 
20 -le serveur distant envoie cette cle privee sous forme 

chiffree a la station de travail, qui la dechiffre avec la cl6 symetrique. 

Les risques presented par une telle recuperation sont les 

suivants : 

- si le mot de passe est recupere par un tiers, la securite du 
25 systeme est directement compromise ; 

- si les cl6s priv6es chiffrees sont recuperees par un tiers, ce 
tiers pourra tenter ce qu'on appelle une attaque par dictionnaire hors- 
ligne, c'est-a-dire pourra essayer un grand nombre de mots de passe 
habituels (tous les mots existants dans toutes les langues par exemple) 

30 sans interaction avec le serveur. 

On peut alors exiger une authentification de rutilisateur afin 
que le serveur distant ne transmette des cles chiffrees qu'& l'utilisateur 
auquel elles appartiennent. Pour cela, US-A-5 491 752 propose 
d'authentifier l'utilisateur possedant le mot de passe avant de lui envoyer 

35 ses cles chiffrees. Les techniques proposees consistent essentiellement a 
envoyer la valeur de hachage du mot de passe au serveur afin de lui 
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prouver la connaissance du mot de passe. Cette valeur doit etre envoyee 

chiffree afin qu'elle ne puisse etre lue que par le serveur distant. 

Cette authentification de Tutilisateur pourrait se faire de 

maniere plus ou moins complexe, mais elle necessite dans tous les cas 
5 que des donn6es de v6rification soient initialement stockees sur le 

serveur distant. II est en effet impossible d'identifier un utilisateur ex 

nihilo. II convient de remarquer que, quelle que soit la methode utilisee, 

le serveur distant peut effectuer une attaque par dictionnaire hors-ligne. 

Les seules donnees caracterisant un utilisateur sont son identifiant (a 
10 priori public) et son mot de passe. Le serveur distant peut done essayer 

un grand nombre de mots de passe puisqu'il possede un acces direct aux 

donnees de verification. 

H convient done d'eviter que les cl6s privees chiffrees, les 

donnees de verification ou toute autre information permettant une 
15 attaque par dictionnaire hors-ligne soit obtenue par un tiers autre que le 

serveur effectuant les verifications. 

Pour assurer la confidentiality de la valeur de hachage du 

mot de passe, cet art anterieur suppose que la cle de chiffrement publique 

du serveur est connue. En d'autres termes, il est suppose qu'il existe deja 
20 un canal permettant de garantir que les donnees envoyees seront recues 

par le serveur distant et par lui seul. 

Cette hypothese est relativement forte. II serait done 

souhaitable d'avoir un systeme permettant d'emp6cher les attaques par 

dictionnaire hors-ligne meme dans le cas ou Ton ne dispose pas a priori 
25 d'un canal authentifle et confidential avec le serveur, notarnment dans 

une configuration minimaliste ou la seule information certaine connue 

des deux parties est le mot de passe de l'utilisateur ou un derive de celui- 

ci. 

II est souhaitable en particulier que si les communications 
30 de rutilisateur s'effectuent avec un faux serveur, ce dernier n'apprenne 
aucune information sur le mot de passe. 

L'invention a pour but de remedier a au moins certains des 
inconvenients susmentionnes, en fournissant un proc6d6 et un dispositif 
d'interface pour echanger de donnees de contenu en ligne qui assure une 
35 bonne protection des donnees de contenu, qui soit facile a utiliser et 
accessible aussi largement que possible. 
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Pour cela, Pinvention fournit un procede pour echanger de 
maniere protegee des donnees de contenu en ligne comportant les etapes 
consistant a : 

recevoir un code entr6 par un utilisateur dans un dispositif d'interface 
5 relie a un premier dispositif serveur par au moins un reseau de transport 
de donnees, 

envoyer une requite de lecture depuis ledit dispositif d'interface audit 
premier dispositif serveur dans lequel sont stock6es des donnees 
personnelles cryptographiques respectives d'une pluralite d'utilisateurs, 
10 lesdites donnees personnelles cryptographiques de chaque utilisateur 
etant chifrrees au moyen d'un code authentique respectif dudit 
utilisateur, 

recevoir les donnees personnelles cryptographiques chiffrees dudit 
utilisateur dans ledit dispositif d'interface, 
15 dechiffrer lesdites donnees personnelles cryptographiques au moyen 
dudit code entre lorsque ledit code entre correspond audit code 
authentique de l'utilisateur, 

caracterise par le fait qu'il comporte les etapes consistant a : 
utiliser lesdites donnees personnelles cryptographiques pour proteger un 
20 echange de donnees de contenu entre ledit dispositif d'interface et ledit 
au moins un deuxieme dispositif serveur relie audit dispositif d'interface 
par au moins un reseau de transport de donnees, 

supprimer ledit code entre et lesdites donnees cryptographiques 
personnelles dudit dispositif d'interface. 

25 Au sens de l'invention, un dispositif serveur est un 

ordinateur ou appareil similaire relie a un reseau de transport de donnees 
et programme pour mettre des ressources materielles et/ou logicielles a 
disposition de plusieurs utilisateurs, via des dispositifs d'interface 
d'utilisation, encore appeles dispositifs clients, 6galement relies au 

30 reseau de transport de donnees. 

Au sens de Pinvention, un reseau de transport de donnees 
designe tout moyen de liaison apte a transporter des donnees, que ce soit 
sous forme optique, radioelectrique ou electrique, et peut etre constitue 
de fibres optiques, de cables electriques, de cables coaxiaux, de stations 

35 d'emission/reception radiofrequences ou hyperfrequences ou a 
infrarouge, de routeurs, de repetiteurs, et de toute combinaison de ces 
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elements conmis de l'homme du metier. Plusieurs reseaux presentant au 
moins un point de passage des uns aux autres constituent aussi un reseau 
de transport de donnees au sens de l'invention. 

Le stockage des donnees personnelles des utilisateurs dans 
5 le premier dispositif serveur, incluant des donnees personnelles 
cryptographiques, permet de rendre ces donn6es accessibles a distance 
depuis un dispositif d'interface reli6 au premier dispositif serveur. Les 
donnees personnelles cryptographiques de l'utilisateur sont de ce fait 
tenues a sa disposition sans necessiter le transport d'un appareil mobile 

10 ou d'une carte a puce. 

Les donnees personnelles cryptographiques sont stockees 
sur le premier dispositif serveur sous une forme chiffree au moyen d'un 
code authentique connu seulement de leur utilisateur legitime, de sorte 
que leur confldentialit6 est preservee, y compris vis-a-vis du premier 

15 dispositif serveur. 

Le code authentique et les donnees personnelles 
cryptographiques chiffrees ou dechiffrees ne sont conservees sur le 
dispositif d'interface que le temps d'une session, c'est-a-dire le temps 
necessaire a leur utilisation, respectivement pour dechiffrer les donnees 

20 personnelles cryptographiques recues depuis le premier serveur et pour 
proteger par une methode cryptographique un echange de donnees de 
contenu entre le dispositif d'interface et le deuxieme dispositif serveur, 
apres quoi elles sont supprimees du dispositif d'interface. Ainsi, 
l'utilisateur n'a pas besoin de controler les acces au dispositif d'interface 

25 entre deux sessions, lequel peut par consequent servir a une multitude 
d 'utilisateurs, par exemple selon une regie de libre service. 

De preference, ledit dispositif d'interface et ledit premier 
dispositif serveur etablissent un canal de communication confidentiel 
entre eux par mise en commun d'au moins une cle de chiffrement 

30 presentant une grande entropie par rapport audit code authentique de 
l'utilisateur, lesdites donnees personnelles cryptographiques chiffirees 
etant transmises audit dispositif d'interface par ledit canal de 
communication confidentiel. Ceci offre un premier niveau de protection 
contre les attaques par dictionnaire d'un tiers interceptant les 

35 communications entre le dispositif d'interface et le premier dispositif 
serveur. Pour cela, on peut utiliser un protocole d'echange de cle ou 
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Key-Exchange qui permet a deux parties ne poss6dant aucune donnee 
secrete commune prealable de calculer une telle donnees puis de s'en 
servir par exemple comme cle de chifrrement symetrique, nominee alors 
cle de session. 

5 De preference, au moins une donnee personnelle de 

verification de code qui derive dudit code authentique de Putilisateur 
selon une fonction deterministe est stockee dans ledit premier dispositif 
serveur et ledit premier dispositif serveur authentifie explicitement ou 
implicitement ledit dispositif d'interface a l'aide de ladite donnee 

10 personnelle de verification de code. L'authentification implicite du 
dispositif d'interface signifie que le premier dispositif serveur, sans avoir 
aucune garantie sur l'identite de son interlocuteur dans ce cas, est assure 
que seul un dispositif d'interface possedant le code authentique pourra 
interpreter sa reponse. 

15 La fonction deterministe peut etre la fonction identite, 

auquel cas le premier dispositif serveur stocke le code authentique lui- 
meme. Avantageusement, ladite fonction deterministe est une fonction 
non inversible resistante aux collisions, en particulier une fonction de 
hachage cryptographique. 

20 Selon un mode de realisation particulier de l'invention, ledit 

dispositif d'interface et ledit premier dispositif serveur realisent 
simultanement la mise en commun de ladite au moins une cle de 
chiffrement et rauthentification explicite ou implicite dudit dispositif 
d'interface par ledit premier dispositif serveur en utilisant un protocole 

25 de type Password-Based-Key-Exchange (echange de cle base sur un mot 
de passe) PBKE. 

Au sens de l'invention, on designe par protocole de type 
PBKE une famille de protocoles egalement connus sous le nom de 
Password Authenticated Key Agreement (PAKA). Ces protocoles 

30 verifient au moins les conditions suivantes : 

- les deux parties n'utilisent qu'un code de faible entropie 
au sens du nombre des realisations possibles, par 
exemple un mot de passe ou son derive, comme donnee 
certaine commune, 

35 - a partir de cette donnee commune, les deux parties 

etablissent un canal de communication sur, c'est-a-dire 
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fonde sur au moins une cle de plus grande entropie, sans 
permettre les attaques par dictionnaire hors lignes des 
tiers cherchant a se procurer cette donnee commune, 
- au moins une des deux parties acquiert une preuve 
d' authenticity de l'autre partie, l'authenticite etant 
definie comme la connaissance de la donnee certaine 
commune. Cette preuve d'authenticite peut Stre explicite 
ou implicite. Une authentification implicite ne fournit 
pas immediatement la garantie d'authenticite de 1'autre 
partie ; mais elle garantie que la cle de grande entropie 
protegeant le canal de commumcation sur qui est etabli 
au cours du protocole ne peut etre connue de l'autre 
partie que si cette derniere connaissait la donnee certaine 
commune prealablement a l'execution du protocole. 
L'organisme de normalisation IEEE propose une liste de tels 
protocoles dans le document PI 363.2 : Standard Specifications for 
Password-Based Public-Key Cryptographic Techniques, Version 7, 20 
decembre 2002, qui est incorpore par reference. Les protocoles de type 
PBKE comprennent une sous-famille de protocoles denommee 
Encrypted Key Exchange (EKE). L'EKE est un concept general, 
theoriquement applicable a n'importe quel protocole d'echange de cle ; 
mais, pour le moment, la recherche en cryptographie n'a mis au point les 
details techniques que dans le cas de Diffie-Hellman et de ses variantes 
sur d'autres groupes (comme par exemple sur des courbes elliptiques). 

Un tel protocole apporte une protection de ladite au moins 
une cle de chiffrement contre l'interception par un tiers qui intercepterait 
toutes les communications entre le dispositif d'interface et le premier 
dispositif serveur sans connaitre ledit code authentique ou ses d6rives. 
Ce mode de realisation offre une securite elevee qui ne repose pas sur 
l'existence prealable d'un canal securise vers le serveur distant, ni sur 
l'existence d'information permettant d'en creer un de maniere 
immediate. La securite de ce mode de realisation avec echange de cle 
base sur un mot de passe ne repose en effet sur aucune autre donnee 
certaine predefmie que le mot de passe ou code authentique de 
l'utilisateur ou ses derives deterministes. 
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De preference, ledit protocole de type Password-Based- 
Key-Exchange inclut une seule communication dans chaque sens entre 
ledit dispositif d'interface et ledit premier dispositif serveur. 
Avantageusement dans ce cas, ladite communication depuis le premier 

5 dispositif serveur vers le dispositif d'interface inclut la transmission des 
donnees personnelles cryptographiques chiffrees. 

Avantageusement, ledit dispositif d'interface choisit un 
premier entier correspondant a un premier element d'un groupe pred6fini 
et ledit premier dispositif serveur choisit un deuxieme entier 

10 correspondant a un deuxieme element dudit groupe, par exemple de la 
forme g x mod p, puis ledit dispositif d'interface et ledit premier dispositif 
serveur se transmettent mutuellement lesdits premier et deuxieme 
elements, ledit dispositif d'interface et ledit premier dispositif serveur 
produisant chacun ladite au moins une cle de chiffrement par 

15 combinaison de 1'entier choisi par lui-meme et de l'element recu par lui- 
menie, ledit premier element du groupe etant transmis audit premier 
dispositif serveur sous une forme chiffr6e au moyen d'une trace 
discriminante qui derive dudit code entre par l'utilisateur dans le 
dispositif d'interface selon ladite fonction deterministe, ledit premier 

20 element du groupe etant dechiffre par ledit premier dispositif serveur au 
moyen de ladite donnee personnelle de verification de code, ledit 
deuxieme element du groupe etant transmis audit dispositif d'interface 
sous une forme symetriquement chiffree au moyen de ladite donnee 
personnelle de verification de code, ledit deuxieme element du groupe 

25 etant dechiffre par ledit dispositif d'interface au moyen de ladite trace 
discriminante. Ainsi, un protocole PBKE sur le protocole Diffie-Hellman 
permet de recuperer les donnees cryptographiques personnelles chiffrees 
sur le serveur distant avec authentification par mot de passe et resistance 
aux attaques par dictionnaire hors ligne. 

30 De preference, lesdits premier et deuxieme elements du 

groupe sont chiffres avec un protocole de chiffrement symetrique qui est 
choisi de maniere qu'une tentative de dechiffrement d'un desdits 
elements du groupe selon ledit protocole produise toujours un element 
dudit groupe, quelle que soit la cle utilisee dans ladite tentative. 

35 De preference, lesdits premier et deuxieme elements du 

groupe sont chiffres avec un protocole de chiffrement symetrique qui est 
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choisi de maniere que ledit entier ne puisse pas etre obtenu a partir de 
1 'element du groupe correspondant chiffre. Ainsi, les attaques par 
dictionnaire hors ligne d'un faux serveur ou d'un attaquant interceptant 
toutes les communications sont rendues essentiellement impossibles. 
5 Selon un mode de realisation particulier, ledit premier 

element du groupe, respectivement ledit deuxieme el6ment du groupe, 
est chiffre avec un protocole de chiffrement symetrique qui comprend 
l'etape consistant a composer ledit element par une loi de composition 
dudit groupe avec l'image de ladite trace discriminante, respectivement 

10 l'image de ladite donnee personnelle de verification de code, par une 
fonction a valeurs dans ledit groupe. 

De preference, ladite etape d'utilisation comprend l'etape 
consistant a authentifier ledit utilisateur aupres dudit au moins un 
deuxieme dispositif serveur au moyen de donnees d'authentification 

15 dudit utilisateur incluses dans lesdites donnees cryptographiques 
personnelles. Par exemple, les donnees d'authentification comportent un 
certificat numerique de l'utilisateur. 

Selon un mode de r6alisation particulier de Pinvention, 
ladite etape d'utilisation comprend les etapes consistant a : 

20 recevoir des donnees de contenu entrees par ledit utilisateur dans ledit 
dispositif d' interface, 

chiffrer lesdites donnees de contenu au moyen d'au moins une cle de 
chiffrement incluse dans lesdites donnees cryptographiques personnelles, 
envoyer lesdites donnees de contenu chiffrees audit au moins un 
25 deuxieme dispositif serveur pour stocker lesdites donnees de contenu 
chiffrees dans ledit deuxieme dispositif serveur et/ou les transmettre a un 
destinataire. 

Ce mode de realisation peut 6tre applique a l'acces en 
ecriture a une banque de donn6es personnelles et a 1' envoi de courrier 
30 electronique chiffre. Par exemple, la cle de chiffrement est une cle 
cryptographique forte, par exemple superieure ou egale a 128 bits, pour 
chiffrer symetriquement lesdites donnees de contenu. 

Selon un autre mode de realisation particulier de 
l'invention, ladite etape d'utilisation comprend les etapes consistant a : 
35 envoyer une deuxieme requete de lecture designant des donnees de 
contenu depuis ledit dispositif d'interface audit au moins un deuxieme 
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dispositif serveur, 

recevoir lesdites donnees de contenu chiffrees depuis ledit au moins un 
deuxieme dispositif serveur dans ledit dispositif d'interface, 
dechiffrer lesdites donnees de contenu au moyen d'au moins une cle de 
5 dechiffrement incluse dans lesdites donnees personnelles 
cryptographiques. 

Ce mode de realisation peut Stre applique a la reception de 
courrier electronique chiffre, a la reception de donnees de contenu audio 
et/ou video, et a Faeces en lecture a une banque de donnees personnelles, 

10 lesdites donnees de contenu etant des donnees personnelles qui ont 6te 
prealablement chiffrees au moyen desdites donnees personnelles 
cryptographiques et stockees par ledit utilisateur dans ledit deuxieme 
dispositif serveur. Ce mode de realisation permet aussi, dans le cas ou le 
deuxieme serveur est egalement un serveur de cles similaire au premier, 

15 d'acceder a des cl6s privees de Tutilisateur stockees sous forme chiffree 
sur le deuxieme serveur. La connexion au deuxieme serveur s'effectue 
alors a l'aide des donnees cryptographiques personnelles r6cuperees sur 
le premier serveur. Ainsi, la protection des cles privees est accrue en 
rendant leur recuperation dependante de la reussite d'une serie de 

20 connexions prealables a plusieurs serveurs de cles successifs. 

Selon un autre mode de realisation, ladite premiere requete 
de lecture inclut une trace discriminante dudit code entr6 et lesdites 
donnees personnelles de chaque utilisateur comprennent des donnees 
personnelles de verification de code pour verifier que ledit code entre 

25 correspond audit code authentique de Putilisateur, lesdites donnees 
personnelles cryptographiques chiffrees dudit utilisateur n'6tant recues 
dans ledit dispositif d'interface que si ledit code entre correspond audit 
code authentique de l'utilisateur. Une trace discriminante du code est une 
trace qui permet de differencier deux codes differents. Elle peut etre le 

30 code lui-meme - mais ce mode de realisation est deconseille pour des 
raisons de securite - ou une image du code par une fonction 
cryptographique deterministe et resistante aux collisions, c'est-a-dire une 
fonction qui presente une propriete d'injectivite au sens calculatoire du 
terme, dans la mesure ou il est techniquement impossible de construire 

35 deux ant6cedents d'une meme image. 
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La trace discriminante sert a prouver que Putilisateur 
connait le code authentique, autant que possible sans divulguer le code 
authentique. 

Ainsi, le code entre par l'utilisateur du dispositif d'interface 
5 sert a authentifier celui-ci auprds du premier serveur et les donnees 
personnelles cryptographiques ne sont envoy ees a l'utilisateur que 
lorsqu'il a fait la preuve qu'il connait le code authentique, ce qui 
empeche un tiers de recevoir les donnees personnelles cryptographiques 
chiffrees pour tenter de casser leur chifrrement par des essais 
10 systematiques. Par exemple, les donnees personnelles de verification de 
code peuvent comporter un identifiant de l'utilisateur et le mot de passe 
authentique ou une donnee derivee de celui-ci. 

Avantageusement, le proc6de selon 1' invention comporte les 
etapes consistant a : 
1 5 calculer ladite trace discriminante en tant que transformee non inversible 
du code entre dans ledit dispositif d'interface, 

lesdites donnees personnelles de verification de code stock6es dans le 
premier dispositif serveur comprenant une transformee similaire dudit 
code authentique. Les donn6es personnelles de verification de code 

20 stockees dans le premier dispositif serveur decoulent d'une 
transformation non inversible du code authentique, de sorte que le code 
authentique de l'utilisateur ne peut etre retrouve a partir des donnees 
personnelles de verification de code stock6es dans le premier dispositif 
serveur. On evite ainsi que m6me le premier dispositif serveur et ses 

25 exploitants ne puissent retrouver facilement le code authentique. 

Pour prouver que Putilisateur connait le code authentique, 
on peut aussi envisager d'utiliser un protocole de preuve 
cryptographique a divulgation nulle, c'est-a-dire un protocole de preuve 
dont on peut prouver mathematiquement qu'il n'apporte aucune 

30 information sur la donnee dont il prouve la connaissance. Cette preuve a 
divulgation nulle presente cependant deux problemes : le premier est 
qu'eile n'evite pas a elle seule les attaques actives ou un adversaire 
intercepte et modifie toutes les communications entre l'utilisateur et le 
serveur. Le deuxieme est qu'elle necessite deux phases : une premiere 

35 d'authentification, et une seconde d'envoi des cles chiffrees, et done 
plusieurs allers-retours r6seau. 
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De preference, le procede selon Pinvention comporte Fetape 
consistant a imposer un delai minimum predetermine entre le traitement 
de deux occurrences successives de ladite premiere requSte de lecture au 
niveau du premier dispositif serveur, sous peine de ne pas tenir compte 

5 de Poccurrence la plus tardive. De cette maniere, on rend essentiellement 
impossible une tentative d'obtention des donnees personnelles par une 
attaque « par dictionnaire en ligne » consistant a envoyer une multitudes 
d'occurrences successives de la premiere requete de lecture en variant 
systematiquement le code inclus dedans. 

10 En effet, un mot de passe n'a qu'une faible security : il est 

sensible aux attaques par dictionnaire. Une attaque par dictionnaire 
consiste a supposer que le mot de passe est issu d'une liste de mots de 
passe possibles, et a essayer chaque mot de cette liste. Un mot de passe 
typique (c'est-a-dire un mot de passe qu'un utilisateur pourra memoriser) 

1 5 sera typiquement trouvable en quelques centaines de milliers d'essais. On 
distingue deux types d'attaques par dictionnaire : 

- les attaques en ligne : chaque essai necessite une 
interaction avec une entit6 connaissant legitimement le mot de passe (par 
exemple un serveur informatique sur reseau) ; 

20 - les attaques hors ligne : l'attaquant possede toutes les 

donnees necessaires pour "essayer" chaque mot de passe sur ses propres 
ordinateurs et en verifier la validity. 

Les attaques hors ligne sont fatales, car seule la puissance 
de Pordinateur de l'attaquant limite le nombre d'essais qu'il pourra mener 

25 a chaque seconde ; un debit realiste est de l'ordre de 10 000 essais par 
seconde, ce qui signifie que le mot de passe sera trouve en quelques 
minutes. Les attaques en ligne, en revanche, peuvent etre contrees 
facilement : il suffit pour le serveur contacte de limiter le nombre 
d'essais de l'attaquant, par exemple en imposant un delai a chaque 

30 reponse, ou en refusant de repondre apres un certain nombre d'essais 
infructueux. 

De preference, le procede selon Pinvention comporte une 
6tape consistant a surveiller systematiquement les communications 
impliquant ledit premier dispositif serveur. En effet, les requ6tes de 
35 lecture recues par le premier dispositif serveur et les donnees 
crypto graphiques envoyees en reponse par le premier dispositif serveur 
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sont peu nombreuses et peu volumineuses, ce qui rend un tel controle 
possible sans cout excessif. Avantageusement, le premier dispositif 
serveur est exclusivement dedie a stocker les donnees personnelles des 
utilisateurs et mettre celles-ci a disposition de leurs proprietaires lorsque 
5 ceux-ci le requierent, au debut d'une session, ce qui contribue a limiter le 
volume desdites communications. 

Avantageusement, le precede selon Pinvention comporte 
Petape consistant a : 

contreler Pintegrit6 des donnees personnelles cryptographiques recues 

10 depuis ledit premier dispositif serveur au moyen de donnees de controle 
d'integrite jointes auxdites donnees personnelles cryptographiques 
recues depuis ledit premier dispositif serveur. Ainsi, on peut detecter 
toute alteration des donn6es personnelles cryptographiques au cours de 
leur transmission depuis le premier dispositif serveur. 

15 De pr6ference, le precede selon Pinvention comporte Petape 

consistant a authentifier ledit premier dispositif serveur aupres dudit 
dispositif d'interface avant Penvoi de ladite premiere requete de lecture. 
De ce fait, on empeche un faux premier dispositif serveur de recevoir la 
requdte, qui peut contenir la trace discriminante du code authentique de 

20 Putilisateur, et done de pouvoir monter une attaque « par dictionnaire » 
portant sur le code authentique. 

Avantageusement, le precede selon Pinvention comporte 
Petape consistant a etablir une communication confidentielle avec le 
premier dispositif serveur avant Penvoi de ladite premiere requeue de 

25 lecture depuis le dispositif d'interface. On empeche ainsi tout tiers 
interceptant les communications entre le premier dispositif serveur et le 
dispositif d'interface de lire la premiere requete, qui peut contenir la 
trace discriminante du code authentique de Putilisateur, et done de 
pouvoir monter une attaque «par dictionnaire » portant sur le code 

30 authentique. Par exemple, Pauthentification du premier dispositif serveur 
et/ou Petablissement d'une communication confidentielle sont realises 
en utilisant un certificat numerique du premier dispositif serveur et le 
protocole SSL. 

De preference, le precede selon Pinvention comporte une 
35 etape d'inscription consistant a : 

mettre a disposition des donnees personnelles cryptographiques dans 
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ledit dispositif d'interface, 

recevoir un code authentique entre par ledit utilisateur dans ledit 
dispositif d'interface, 

chiffrer lesdites donnees personnelles cryptographiques au moyen dudit 

5 code authentique, 

envoyer lesdites donnees personnelles cryptographiques chiffrees depuis 
ledit dispositif d'interface audit premier dispositif serveur pour stocker 
lesdites donnees personnelles cryptographiques chiffrees dans ledit 
premier dispositif serveur, 

10 supprimer lesdites donnees personnelles cryptographiques et ledit code 
authentique dudit dispositif d'interface. 

Avantageusement, l'etape d' inscription comporte aussi les 

etapes consistant k : 

former des donnees personnelles de verification de code a partir dudit 
15 code authentique, 

envoyer lesdites donnees personnelles de v6rification de code depuis 
ledit dispositif d'interface audit premier dispositif serveur pour stocker 
lesdites donnees personnelles de verification de code dans ledit premier 
dispositif serveur. 

20 La mise a disposition des donnees personnelles 

cryptographiques peut etre effectuee par lecture desdites donnees sur un 
support comme une carte a puce ou par generation desdites donnees dans 
le dispositif d'interface a partir d'un generateur de nombres aleatoires. 

Par exemple, le code authentique est un mot de passe 

25 memorise par l'utilisateur qui est transforme en une cle cryptographique 
dans le dispositif d'interface pour chiffrer symetriquement au moins 
certaines des donnees cryptographiques personnelles. 

De preference, le procede selon 1' invention comporte une 
etape consistant a rejeter ledit code authentique entre par l'utilisateur 

30 lorsque ledit code remplit des criteres d'evidence predefinis. Ainsi, on 
assure des l'etape d'inscription que le code authentique ne peut pas etre 
un code evident, ce qui renforce la surete des donnees stockees sur le 
premier dispositif serveur contre les attaques «par dictionnaire » 
foment6es pour obtenir frauduleusement le code authentique et les 

35 donnees personnelles cryptographiques, y compris par les personnes 
ayant le controle du premier dispositif serveur. Par exemple, les criteres 
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d'evidence predefinis peuvent imposer un nombre de caracteres 
minimum, un nombre de caracteres non alphanum6riques minimum, et 
exclure des chaines de caracteres courantes, comme les dates, prenoms, 
etc. 

5 De preference, le procede selon l'invention comporte l'etape 

consistant a authentifier ledit premier dispositif serveur aupres dudit 
dispositif d'interface avant l'envoi desdites donnees personnelles 
cryptographiques chiffrees. Avantageusement, le procede selon 
1'invention comporte l'etape consistant a etablir une communication 

10 confidentielle entre le dispositif d'interface et le premier dispositif 
serveur avant l'envoi desdites donnees personnelles cryptographiques 
chiffrees. De ce fait, on empeche tout tiers se faisant passer pour le 
premier dispositif serveur ou espionnant les echanges entre le premier 
dispositif serveur et le dispositif d'interface de recevoir les donnees 

15 personnelles cryptographiques ctaffrees, et done de pouvoir monter une 
attaque « par dictionnaire » portant sur le code authentique pour 
dechiffrer lesdites donnees personnelles cryptographiques. 

L'invention fournit egalement un dispositif d'interface pour 
echanger de maniere proteg6e des donnees de contenu en ligne, 

20 comportant un moyen pour recevoir un code entre par un utilisateur, 

un moyen pour envoyer une premiere requete de lecture depuis ledit 
dispositif d'interface a un premier dispositif serveur dans lequel sont 
stockees des donnees personnelles cryptographiques respectives d'une 
plurality d'utilisateurs, lesdites donnees personnelles cryptographiques 

25 de chaque utilisateur etant chiffrees au moyen d'un code authentique 
respectif dudit utilisateur, 

un moyen pour recevoir les donnees personnelles cryptographiques 
chiffrees dudit utilisateur depuis ledit premier dispositif serveur, 
un moyen pour dechiffrer lesdites donnees personnelles 
30 cryptographiques au moyen dudit code entr6, lorsque ledit code entr6 
correspond audit code authentique de l'utilisateur, 
caracterise par le fait qu'il comporte : 

des moyens pour utiliser lesdites donnees personnelles cryptographiques 
arm de proteger un echange de donnees de contenu entre ledit dispositif 
35 d'interface et au moins un deuxieme dispositif serveur, 



WO 03/107587 




PCT/FR03/01841 



19 



un moyen pour supprimer ledit code et lesdites donnees 
cryptographiques personnelles dudit dispositif d'interface. 

Le dispositif d'interface selon 1'invention peut 6tre realise 
en tant qu'appareil dont la conception materielle est specifique a cette 

5 fin, ou en tant qu'appareil de conception materielle classique, par 
exemple un micro-ordinateur generique, programme au moyen d'un 
programme d'ordinateur specifique a cette fin, ou en tant que 
combinaison des deux. Le dispositif d'interface selon 1'invention peut 
aussi etre realise en tant que programme d'ordinateur. Au sens de 

10 1'invention, un programme d'ordinateur comporte des codes 
destruction aptes a etre lus ou stockes surun support et executables par 
un ordinateur ou un appareil similaire. 

Selon un mode de realisation particulier de 1'invention, le 
dispositif consiste en un programme de gestion de courrier electronique, 

15 lesdits moyens d'utilisation des donnees personnelles cryptographiques 
comprenant un module cryptographique pour signer, chiffrer et/ou 
dechiffrer des courriers electroniques a l'aide d'au moins certaines 
desdites donnees cryptographiques personnelles. 

Selon un autre mode de realisation particulier de 

20 1'invention, le dispositif consiste en un module d'extension adapts a un 
programme de gestion de courrier 61ectronique comprenant un module 
cryptographique pour signer, chiffrer et dechiffrer des courriers 
electroniques, lesdits moyens d'utilisation des donnees personnelles 
cryptographiques comprenant un moyen pour foumir audit module 

25 cryptographique au moins certaines desdites donnees cryptographiques 
personnelles. 

De maniere separee du dispositif ci-dessus ou de manidre 
integree a celui-ci, 1'invention fournit egalement un dispositif d'interface 
d'inscription, caracterise par le fait qu'il comporte : 
30 un moyen pour mettre a disposition des donnees personnelles 
cryptographiques dans ledit dispositif d'interface, 

un moyen pour recevoir un code authentique entre par ledit utilisateur 
dans ledit dispositif d'interface, 

un moyen pour chiffrer lesdites donnees personnelles cryptographiques 
35 au moyen dudit code authentique, 

un moyen pour envoyer lesdites donnees personnelles cryptographiques 
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chiffrees depuis ledit dispositif d'interface a un premier dispositif 
serveur pour stocker lesdites donnees personnelles cryptographiques 
chiffrees dans ledit premier dispositif serveur, dans lequel sont stockees 
des donnees personnelles cryptographiques respectives d'une pluralite 
d'utilisateurs, lesdites donnees personnelles cryptographiques de chaque 
utilisateur etant chiffrees au moyen d'un code authentique respectif dudit 
utilisateur, 

un moyen pour supprimer lesdites donnees personnelles 
cryptographiques et ledit code authentique dudit dispositif d'interface. 

L'invention sera mieux comprise, et d'autres buts, details, 
caracteristiques et avantages de celle-ci apparaitront plus clairement au 
cours de la description suivante de plusieurs modes de realisation 
particuliers de rinvention, donnas uniquement a titre illustratif et non 
limitatif, en reference au dessin annexe. Sur ce dessin : 

- la figure 1 est un schema de principe d'un systeme 
pour la mise en oeuvre du procede d'echange de 
donnees selon 1' invention, 

- la figure 2 est un diagramme representant une 
etape description du procede d'echange de 
donnees selon Finvention, 

- la figure 3 est un diagramme representant une 
session d'utilisation du procede d'echange de 
donnees selon 1'invention, 

- la figure 4 represente une application du procede 
selon rinvention a une banque de donnees 
personnelles, 

- la figure 5 represente une application du procede 
selon rinvention a la gestion de courrier 
61ectronique securise, 

- la figure 6 represente une application du procede 
selon Finvention a la diffusion audiovisuelle, 

- la figure 7 represente un autre mode de realisation 
de la session d'utilisation. 

En reference k la figure 1, un reseau de transport de donnees 1, 
par exemple l'lnternet, relie entre eux des serveurs de contenu 2a et 2b 
offrant des services en ligne, un serveur de cles 3 et des dispositifs 
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d'interface 4a, 4b, 4c pour utiliser les services offerts par les serveurs de 
contenu 2a et 2b. Les dispositifs d'interface 4a, 4b sont des ordinateurs 
classiques comportant une memoire, une unite de traitement des donnees 
et des peripheriques d' entree/sortie et de stockage. lis sont relies au 
5 reseau 1 par des liaisons filaires 5a et 5b. Le dispositif d'interface 4c est 
un telephone cellulaire comportant egalement une memoire, une unit6 de 
traitement des donnees, un clavier 6 et un ecran 7. II est relie au rSseau 1 
par l'interm6diaire d'une liaison radio 5c avec une station 
d'emission/reception la integree au reseau 1. Bien que seulement deux 

10 serveurs de contenu et trois dispositifs d'interface soient representes, le 
systeme peut comporter un tres grand nombre des uns et/ou des autres. 
L'invention n'est pas limitee a cet 6gard. De plus, un mSme ordinateur 
peut constituer simultanement plusieurs serveurs, ceux-ci etant mis en 
ceuvre sous une forme logicielle et ayant chacun une adresse specifique 

15 sur le reseau 1 . A ce titre, le serveur de cles 3 peut etre mis en oeuvre par 
le mSme ordinateur qu'un serveur de contenu. 

Les serveurs de contenu 2a et 2b servent a fournir. aux 
utilisateurs des dispositifs d'interface 4a, 4b, 4c des services impliquant 
des donnees de contenu. Par exemple, les serveurs de contenu 2a et 2b 

20 peuvent comprendre des serveurs de sites sur la Toile, des serveurs de 
courrier electronique, des serveurs de donnees audio/video, des serveurs 
de fax, des serveurs de transfert de fichiers par protocole FTP, des 
serveurs de liste de diffusion, des serveurs de discussion en temps reel 
IRC, des serveurs d'information, des serveurs de commerce electronique, 

25 etc. 

Le serveur de cles 3 est un serveur exclusivement dedie a 
stocker des donnees personnelles cryptographiques et des donnees 
personnelles de verification de code d'une plurality d'utilisateurs 
enregistres aupres du serveur de cl6s 3 ou de son exploitant, et a 

30 transmettre a tout dispositif d'interface depuis lequel un utilisateur 
enregistrS en fait la demande les donnees personnelles cryptographiques 
de cet utilisateur. 

Pour renforcer la securite des donnees personnelles stockees 
sur le serveur de cles 3, celui-ci est de preference situ6 dans un lieu 

35 proteg6 par un blindage et/ou des restrictions d'acces. De plus, le serveur 
de cles 3 est autant que possible physiquement ferm6, notamment par 
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fermeture des ports de communication non indispensables. Du fait des 
fonctions restreintes remplies par le serveur de cles 3, le nombre d'acces 
a celui-ci et le volume des donnees qu'il echange sont assez limites. Au 
contraire, les donnees de contenu sont g6neralement volumineuses et 

5 peuvent faire l'objet d'une multitude d'acces simultanes, de sorte que le 
volume des echanges entre chaque serveur de contenu 2a ou 2b et le 
reseau 1 est generalement bien plus grand qu'entre le serveur de cles 3 et 
le reseau 1, ce qui est symbolise par l'epaisseur des traits de liaison entre 
les serveurs respectifs et le reseau 1. 

10 La petitesse des flux de donnees entrants et sortants du serveur 

de cles 3 permet qu'un systeme de surveillance 8, represents 
symboliquement sur la figure 1, surveille en temps r6el les 
communications entre le serveur de cles 3 et le reseau 1, par exemple en 
surveillant le journal de bord du serveur de cles 3. 

15 Pour s'enregistrer aupres du serveur de cles 3, un utilisateur 

effectue depuis un dispositif d'interface 4a-c une etape d'inscription qui 
va maintenant etre decrite en reference a la figure 2. 

A l'etape 10, l'utilisateur lance une application d'inscription 
sur un dispositif d'interface, par exemple un micro-ordinateur relie au 

20 reseau 1. 

A l'etape 11, le dispositif d'interface engendre des donnees 
cryptographiques personnelles pour l'utilisateur. Pour pouvoir effectuer 
un cMffrement/decniffrement symetrique de donnees de contenu, une cle 
privee KS est engendree au moyen d'un generateur pseudo-aleatoire sur 

25 embarque dans le dispositif d'interface et utilisant une donnee 
d'initialisation aleatoire provenant d'une mesure physique. Plusieurs 
methodes existent pour obtenir une telle donnee d'initialisation, par 
exemple en demandant a l'utilisateur de frapper au hasard des touches 
sur un clavier du dispositif d'interface et en chronometrant precisement 

30 les intervalles de temps entre deux frappes successives. Pour pouvoir 
mettre en oeuvre une methode de chiffrement a cle publique, une paire 
de cles formee d'une cl6 publique KB et d'une cle privee correspondante 
KR est engendr6e. Toutes ces cles sont choisies suffisamment longues, 
par exemple de 128 bits ou plus, pour assurer une haute securite 

35 cryptographique. 
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A l'etape 12, l'utilisateur fait certifier sa cle publique KB par 
une autorite de certification, qui peut etre une entite independante non 
representee ou le serveur de cles 3, selon une technique connue. Une 
telle certification sert a prouver qu'une cle publique KB appartient a 

5 cette personne donnee, qui est seule a poss6der la cle privee KR 
correspondante. L'utilisateur obtient ainsi un certificat numerique A qui 
contient la cl6 publique KB et differentes donnees d'identification de son 
proprietaire, comme le nom de 1'utilisateur, son adresse, son age, etc. Par 
exemple, le certificat numerique A est au format standardise X.509 

10 utilisable dans un protocole de chiffirement SSL. La cle privee KR, le 
certificat numerique A et la cle symetrique KS constituent les donnees 
cryptographiques personnelles de l'utilisateur. 

Les etapes 11 et 12 ne sont qu'un exemple de mise a 
disposition des donnees cryptographiques personnelles de l'utilisateur 

15 dans la memoire du dispositif d'interface. En variante, l'utilisateur 
pourrait avoir obtenu de telles cles prSalablement, par exemple sur un 
support tel qu'une carte a puce, et charger ces donn6es dans la memoire 
du dispositif d'interface a l'aide d'un lecteur approprie. Cette etape de 
mise a disposition ne devant etre effectuee qu'une seule fois, la carte a 

20 puce pourrait ensuite 6tre mise en s6curite dans un cofrre-fort pour servir 
de copie de sauvegarde. 

Les donnees cryptographiques personnelles au sens de 
Finvention ne sont pas limitees a la combinaison de cles precitee. Ces 
donnees pourraient aussi se limiter a une unique cle privee ou, au 

25 contraire, 6tre plus nombreuses. Toutefois, il est preferable de prevoir 
des cles distinctes pour chaque fonction. Dans le cas present, le couple 
forme du certificat A et de la cle privee KR sert a la fonction 
d'authentification de l'utilisateur et la cle privee KS a la fonction de 
chiffrement/dechiffrement des donnees de contenu. 

30 A l'etape 14, l'utilisateur est invite a entrer un identifiant 

personnel N, tel que son nom ou un pseudonyme, et un mot de passe 
personnel dans le dispositif d'interface. Ce mot de passe est choisi par 
l'utilisateur. Si le mot de passe saisi comporte moins de huit caracteres 
ou moins de deux caracteres non alphanumeriques, il est rejete 

35 automatiquement et l'invitation est reiteree. Lorsqu'un mot de passe 
acceptable est entre, l'utilisateur est invite a le confirmer en le saisissant 
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une deuxieme fois, ceci afin d'assurer que l'utilisateur n'a pas commis 
d'erreur dans son choix et connait son mot de passe de maniere certaine. 
Le mot de passe, une fois confirme, est m6morise comme mot de passe 
authentique P de l'utilisateur. 

5 A l'etape 16, le mot de passe authentique P est transforme de 

maniere non inversible en une cle de chiffrement symetrique KP par 
application d'une fonction de hachage a la concatenation de l'identifiant 
N et du mot de passe authentique P de l'utilisateur. Par exemple, la 
fonction de hachage utilisee est la fonction SHA definie par le standard 

10 FIPS 180. 

A l'etape 18, une cle personnelle de verification de mot de 
passe VP est calculee par une transformation injective non inversible du 
mot de passe authentique P. Par exemple, VP resulte de ^application 
d'une fonction de hachage a la cle de chiffrement symetrique KP. 

15 A l'etape 20, la cle privee KR et le certificat numerique A sont 

chiffres symetriquement au moyen de la cle symetrique KS. La cle 
symetrique KS est chiffree symetriquement au moyen de la cle de 
chiffrement KP r6sultant du mot de passe authentique P. En variante, on 
pourrait chiffrer toutes les donnees personnelles cryptographiques au 

20 moyen de la cl6 de chiffrement KP. Dans tous les cas, les donnees 
personnelles cryptographiques de l'utilisateur sont considerees chiffrees 
par le mot de passe authentique P, c'est-a-dire qu'elles sont chiffrees 
d'une maniere telle que le mot de passe authentique P est necessaire pour 
les dechiffrer. 

25 A l'etape 22, le dispositif d'interface etablit une 

communication s6curisee avec le serveur de cles 3 via le reseau 1. Pour 
cela, on peut utiliser le protocole standard SSL qui assure la 
confidentialite et l'integrite des donnees echangees entre le dispositif 
d'interface et le serveur de cles 3, ainsi que l'authentification du serveur 

30 de cles 3 aupres du dispositif d'interface. Le protocole SSL comporte 
plusieurs variantes, dont l'une est decrite ci-dessous. 

Le dispositif d'interface contacte le serveur de cles 3 et lui 
signifie son intention de communiquer avec lui. Le serveur de cles 3 
choisit aleatoirement une paire de cles formee d'une cl6 publique PA et 

35 d'une cle privee KV, correspondant a l'algorithme standard Diffle- 
Hellman. Le serveur de cles 3 possede un certificat public CA qui 
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contient une autre cle publique SP du serveur de cles 3, a laquelle 
correspond une cle prive respective SR du serveur de cles 3. Le serveur 
de cles 3 transmet au dispositif d'interface le certificat public CA, la cl6 
publique PA et une signature electronique de la cle publique PA par la 

5 cl6 privee SR. Le dispositif d'interface verifie la signature du certificat 
CA a l'aide de la cle publique de Fautorite de certification qui Fa sign6, 
et verifie la signature de la cle publique PA a Faide de la cle publique 
SP. Le dispositif d'interface choisit aleatoirement une paire de cles 
formee d'une cle publique PB et d'une cle privee KW, selon 

10 Falgorithme Diffie-Hellman, et transmet la cle publique PB au serveur 
de cles 3. Le serveur de cles 3 calcule une cle de session KT en fonction 
de la cle publique PB et de sa cle privee KV. Le dispositif d'interface 
calcule une cle de session KT en fonction de la cle publique PA et de sa 
cle privee KW. L'algorithme Diffie-Hellman assure que le dispositif 

15 d'interface et le serveur de cles 3 calculent la mdme cle de session KT, 
c'est-a-dire qu'ils obtiennent de maniere differente le meme resultat de 
calcul. Ce resultat n'est pas calculable sans la connaissance d'au moins 
une des cles priv6es KV et KW. 

Plus precisement, selon le protocole Diffie-Hellman, deux 

20 parties, notees A et B, veulent etablir une cle de session commune entre 
elles. Certains parametres sont connus publiquement et ne sont pas 
specifiques a A ni a B : 

- p, un nombre premier de grande taille (par exemple 1024 bits) ; 

- q, un nombre entier divisant p - 1, et de taille moyenne (par 
25 exemple 160 bits) ; 

- g, un entier modulo p generant un sous-groupe d'ordre q de Z* p . 

On travaille ici modulo l'entier p, sur le groupe Z* p des 
nombres inversibles modulo p. Le sous-groupe engendre par g est 
constitue de toutes les puissances de g modulo p ; ce sous-groupe 
30 comporte q valeurs differentes. 

Le protocole Diffie-Hellman est le suivant : 

- A choisit aleatoirement un entier a modulo q ; ce choix est 
realise uniformement entre 0 et q - 1 (inclus). 

- A calcule g a mod p et envoie le resultat a B. 

35 - B choisit aleatoirement un entier b modulo q ; ce choix est 

realise uniform6ment entre 0 et q - 1 (inclus). 
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- B calcule g b mod p et envoie le resultat a A. 

- A utilise a et g b mod p pour calculer la valeur K A = (g b ) a mod p. 

- B utilise b et g a mod p pour calculer la valeur K B = (g a ) b mod p. 

II s'avere, par commutativite de la multiplication modulo p, 
5 que Ka = K B = g ab mod p. Cette valeur commune est la cle de session. 

La security du protocole Diffie-Hellman repose sur la 
difficulte de retrouver rentier a, car a est choisi aleatoirement, a partir de 
g a mod p. Ce probleme est connu sous le nom de logarithme discret. Si p 
est de taille suffisante (par exemple 1024 bits) et que a est choisi dans un 
10 ensemble suffisamment vaste (c f est-a-dire que q est assez grand - au 
moins 160 bits), alors le logarithme discret est au-dela de la technologie 
existante. 

La description originale du protocole Diffie-Hellman utilise les 
entiers modulo p, mais peut etre etendue a n'importe quel groupe sur 

15 lequel l'equivalent du logarithme discret est un probleme "difficile", 
c'est-a-dire non resoluble par les moyens informatiques actuels. Un 
exemple de tel groupe est une courbe elliptique : une courbe elliptique 
est un ensemble de points, chaque point ayant deux coordonnees dans un 
corps fini. On peut definir sur cette courbe une regie d'addition de deux 

20 points, qui fournit un troisieme point de la courbe et qui respecte les 
conditions necessaires pour etre une loi de groupe. 

Le protocole Diffie-Hellman suppose que les ^changes sont 
integres, c'est-a-dire que les donnees envoy6es par A et par B ne sont pas 
modifiees sur le chemin par un attaquant. Le protocole Diffie-Hellman 

25 ne realise pas d'authentification des deux parties. C'est pourquoi il est 
necessaire de disposer du certificat public CA du serveur de cles dans le 
protocole SSL susmentionne. 

A ce stade, les deux interlocuteurs ont mis en commun une cle 
temporaire KT qu'ils sont seuls a connaitre. Par ailleurs, le serveur de 

30 cles 3 s'est authentifie aupres du dispositif d'interface grace a la preuve 
d'identite que constitue le certificat CA. Tous leurs echanges ulterieurs 
sont effectues, au niveau de Temetteur, en chiffrant symetriquement avec 
la cle de session KT les donnees a envoyer et, au niveau du recepteur, en 
dechiffrant avec la cle de session KT les donnees re9ues. Le contenu des 

35 donnees ainsi echangees est parfaitement secret vis-a-vis de tout 
dispositif intermediaire de transport. 
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Dans le protocole decrit ci-dessus, le client, c'est-a-dire le 
dispositif d'interface ou son utilisateur, n'est pas encore authentifi6 
auprds du serveur de cles 3. On peut souhaiter authentifier le client 
aupres du serveur de cles 3 lors de la procedure d'inscription, notamment 
5 pour eviter qu'un tiers puisse ecraser ou modifier le compte d'un 
utilisateur prealablement inscrit. Cette authentification peut etre 
effectuee par toute methode connue permettant d'identifier le client 
aupres de Fautorite d'enregistrement ayant le controle du serveur de cles 
3. 

10 Par exemple, Fautorite d'enregistrement peut exiger une 

rencontre physique avec un futur utilisateur avant son inscription pour 
prendre connaissance de son identite par presentation de documents 
officiels a un guichet d'inscription. A cette occasion, Fautorite 
d'enregistrement peut attribuer et communiquer confidentiellement au 

15 futur utilisateur un mot de passe, qui devra etre entre par Futilisateur sur 
le dispositif d'interface pour etablir la connexion SSL precitee. 

En variante ou en combinaison avec Futilisation d'un mot de 
passe attribue par Fautorite d'enregistrement, on peut egalement utiliser 
le protocole SSL de maniere bi-authentifiee : pour cela, le dispositif 

20 d'interface fait usage de son certificat numerique A contenant la cle 
publique KB. Le dispositif d'interface signe la cle publique PB a Faide 
de la cle privee KR et envoie au serveur de cles 3 la cle publique PB 
signee et le certificat A. Le serveur de cles 3 verifie la signature du 
certificat A a Faide de la cle publique de Fautorite de certification qui Fa 

25 signe, et verifie la signature de la cle publique PB a Faide de la cle 
publique KB. Ainsi, Futilisateur du dispositif d'interface est authentifie 
aupres du serveur de cles 3 grace a la preuve d'identite que constitue le 
certificat A. 

De preference, tous les paquets de donnees M echanges entre 
30 le dispositif d'interface et le serveur de cles 3 sont munis de moyens de 
controle d'integrite permettant au destinataire de verifier que les donnees 
n'ont pas ete alterees entre leur emission et leur reception. Un exemple 
de tels moyens de controle, qui s' applique notamment lorsque le 
chiffrement des donnees echangees est realise a Faide d'une fonction de 
35 chiffrement symetrique par bloc, consiste a concatener avec le paquet de 
donnees M proprement dit, avant son chiffrement avec la cle de session 
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KT, le resultat de l'application d'une fonction de hachage au paquet de 
donnees, soit par exemple SHA(M). Apres dechiffrement, le destinataire 
du paquet de donnees peut ainsi verifier que les donnees qu'il a recues 
presentent bien une structure de type M//SHA(M), ce qui permet au 
5 destinataire de detecter une eventuelle alteration des donnees au cours de 
la communication et de la signaler a l'expediteur, pour qu'il repete 
l'envoi ou qu'il prenne une autre mesure de securite. 

Dans ces conditions, a l'etape 24, le dispositif d'interface 
envoie de maniere securisee au serveur de cles 3 une requete de creation 

10 de compte personnel d'utilisateur contenant : 1'identifiant N, les donnees 
personnelles cryptographiques A, KR, KS chiffrees par le mot de passe 
authentique P et la cle de verification de mot de passe VP. Le serveur de 
cles 3 stocke ces donnees dans un compte, c'est-a-dire un espace de 
stockage, r6serv6 a Putilisateur, par exemple sur un disque dur. 

15 A l'etape 26, le serveur de cles 3 envoie un message de 

confirmation de la creation du compte. Les echanges entre le dispositif 
d'interface et le serveur de cles 3 sont maintenant termines pour ce qui 
concerne 1 'inscription et la cle de session temporaire KT peut 6tre 
effacee par les deux interlocuteurs. 

20 A l'etape 28, l'utilisateur ferme l'application d 'inscription, ce 

qui entraine Peffacement du mot de passe authentique P et de toutes les 
donnees personnelles cryptographiques A, KB, KR, KS chiffrees ou non 
de la memoire du dispositif d'interface. Aucune donnee confidentielle de 
l'utilisateur ne reste dans la memoire du dispositif d'interface, de sorte 

25 que l'utilisateur n'est pas lie a ce dispositif particulier et qu'aucun 
controle des acces a ce dernier n'est necessaire par la suite. Le dispositif 
d'interface peut etre d'acces public, par exemple dans un cybercafS. 

L'etape d'inscription permet ainsi a l'utilisateur de stocker sur 
le serveur de cles 3, qui est accessible depuis tout dispositif d'interface 

30 reli6 au reseau 1, des donnees personnelles cryptographiques sous une 
forme chiffree qu'il est le seul a pouvoir dechiffrer. Le chiffrement 
obtenu a l'aide de la cl6 KS est un chiffrement fort qui est repute 
inviolable, en raison de la longueur de cette cle. Le chiffrement obtenu a 
l'aide de la cle KP est generalement moins fort car il derive directement 

35 du mot de passe P qui doit avoir une longueur raisonnable pour etre 
memorise par l'utilisateur. Cependant, le mot de passe P n'est stocke sur 
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aucun support. II ne peut pas etre retrouve directement a partir de la cle 
de verification VP, sauf par une recherche systematique. En outre, une 
telle recherche systematique ne serait realisable que par le serveur de 
cles 3 qui est le seul a stocker la cle de verification VP. Celle-ci ne 
5 transite jamais en clair sur le reseau 1 . 

Depuis l'etape 10 ci : dessus, on a decrit une procedure 
d'inscription en ligne assurant l'authentification du serveur de cles 3 et 
eventuellement l'authentification de l'utilisateur, ainsi que la 
confidentialite des echanges entre l'utilisateur et le serveur de c\€s 3. 

10 D'autres procedures d'inscription assurant les m6mes garanties sont 
neanmoins possibles. Par exemple, l'utilisateur peut etre conduit par 
l'autorite d'enregistrement dans une piece blindee contenant le serveur 
de cles 3, auquel cas l'authentification du serveur et la confidentialite des 
communications sont assurees par des moyens non cryptographiques, du 

15 seul fait de l'absence de dispositif intermediate de communication et de 
l'isolation physique des interlocuteurs par rapport a l'exterieur. 

Par la suite, l'utilisateur peut utiliser ses donnees personnelles 
cryptographiques depuis n'importe quel dispositif d'interface relie au 
reseau 1 et muni d'une application de session adaptee. En reference a la 

20 figure 3, on decrit maintenant une session d'utilisation depuis un 
dispositif d'interface. 

A l'etape 30, l'utilisateur lance l'application de session. 
A l'etape 32, l'utilisateur est invite a entrer son identifiant N et 
son mot de passe authentique P. L'utilisateur saisit au clavier un 

25 identifiant N' et un mot de passe P\ 

A l'etape 34, une cle de chiffrement symetrique KP' est 
calculee a partir du mot de passe P' et de l'identifiant N' de la meme 
maniere que la cle de chiffrement symetrique KP a l'etape 16. Puis une 
cl6 VP' est calculee a partir de la cle de chiffrement symetrique KP' de 

30 la meme maniere que la cle de verification VP a l'etape 18. 

A l'etape 36, le dispositif d'interface etablit une 
communication securisee avec le serveur de cles 3 via le reseau 1, par 
exemple en utilisant le protocole standard SSL de maniere similaire a 
l'etape 22. Toutefois, le dispositif d'interface ne dispose pas du certificat 

35 A de 1'utilisateur a ce stade. II engendre une paire de cles 
publique/privee specialement pour etablir cette communication, ce qui 
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implique que le serveur de cles 3 ne peut pas authentifier 1 'utilisateur a 
ce stade. Par cette communication securisee, le dispositif d'interface 
envoie au serveur de cles 3 un requete de lecture contenant l'identifiant 
N' etlacle VP'. 

5 A l'etape 38, le serveur de cles 3 traite cette requete en 

identifiant le compte correspondant a l'identifiant N', s'il en existe 
effectivement un, et en comparant la cle de verification VP stockee dans 
ce compte avec le cle VP' recue dans la requ&e. 

Si le compte n'existe pas, ou si la comparaison est negative, 

10 cela indique que rutilisateur n'a pas entre le couple identifiant/mot de 
passe authentique d'un utilisateur enregistre. En effet, du fait de la 
r6sistance aux collisions de la fonction de hachage, tant que P' differe de 
P, VP' differe de VP. Le serveur de cles 3 envoie alors en reponse un 
message de refus d'acces, comme indique par la fleche 40. On assure 

15 ainsi que les donn6es personnelles cryptographiques chiffrees ne seront 
envoyees qu'a un utilisateur ayant fait la preuve qu'il connaissait le 
couple identifiant/mot de passe authentique. 

Les 6tapes 32 a 38 sont alors repetees, jusqu'a ce que le 
serveur de cles 3 recoive une deuxieme occurrence de la requete de 

20 lecture. Cependant, pour un meme identifiant N', le serveur de cles 3 
n'effectue la comparaison prevue a l'etape 38 qu'apres un delai 
superieur a dix secondes depuis la reception de la premiere occurrence 
de la requete de lecture. De ce fait, pour un mot de passe a 8 caracteres, 
essayer automatiquement tous les mots de passe possibles par un envoi 

25 automatise de requStes successives prendrait un temps deraisonnable, de 
Fordre du million d'ann6es. 

Lorsque l'etape 38 a permis de reconnaitre dans le couple 
N'/VP' le code authentique N/VP d'un utilisateur enregistre, a l'etape 
42, le serveur de cles 3 envoie au dispositif d'interface les donn6es 

30 personnelles cryptographiques A, KR, KS chiffrees stockees dans le 
compte correspondant. Le dispositif d'interface envoie au serveur de cles 
3 un accuse de reception, puis la communication entre eux est terminee. 

A l'etape 44, le dispositif d'interface dechiffre la cle KS a 
l'aide de la cle KP' calculee a l'etape 34, puis dechiffre le certificat A et 

35 la cle privee correspondante KR a l'aide de la cle KS ainsi obtenue. 
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A l'etape 46, Futilisateur accede a des services offerts par un 
on plusieurs des serveurs de contenu 2a, 2b depuis le dispositif 
d'interface. Dans cette etape, les communications entre le ou les serveurs 
de contenu 2a, 2b et le dispositif d'interface sont protegees par des 
5 proc6des de chiffrement, de signature electronique et/ou 
d'authentification en utilisant les donnees personnelles cryptographiques 
A, KR, KS. Plusieurs exemples detailles de cette etape sont decrits ci- 
dessous. 

A l'etape 48, Putilisation des services etant terminee, 

10 l'utilisateur ferme l'application de session, ce qui entraine l'effacement 
du mot de passe P', des cles KP' et VP' et de toutes les donnees 
personnelles cryptographiques A, KR, KS, chiffrees ou non de la 
memoire du dispositif d'interface. Aucune donnee confidentielle de 
l'utilisateur ne reste dans la memoire du dispositif d'interface, de sorte 

15 que l'utilisateur n'est pas lie a ce dispositif particulier et qu'aucun 
contrdle des acces a ce dernier n'est n6cessaire par la suite. Le dispositif 
d'interface pour l'etape de session peut aussi 6tre d'acces public, par 
exemple dans un cybercafe. 

Le stockage des donnees personnelles cryptographiques sur le 

20 serveur de cles 3 est plus sur, du point de vue de la confidentiality et de 
la durability, qu'un stockage local sur le dispositif d'interface ou un 
stockage sur carte a puce, car le serveur de cl£s 3 est mieux protege 
physiquement et peut Stre attentivement surveille. 

On decrit maintenant un autre mode de realisation de 

25 l'application de session, en reference a la figure 7. Par convention, le 
dispositif d'interface est designe par A et le serveur de cl6s 3 par B. A et 
B partagent une infrastructure de donnees publiques I comprenant des 
nombres p, q et g convenant pour le protocole de Diffie-Hellman, au 
moins une fonction de hachage h, par exemple SHA-1, et des protocoles 

30 de chiffrement E et F. 

Dans A, l'utilisateur (suppose authentique dans l'exemple 
represent^) entre initialement uniquement son identity N et un mot de 
passe P. B possede sur son systeme de stockage interne les donnees 
cryptographiques personnelles de l'utilisateur D A chiffrees 

35 sym6triquement avec la cle KP deduite du mot de passe P ; on note F la 
fonction de chiffrement utilisee, c'est-a-dire que B stocke Fkp(D a ). A va 
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recuperer cette donnee D A . On suppose que B stocke VP = h(N||KP) 
(mais pas KP) : il s'agit du hachage de la concat6nation du nom N et de 
la cle KP derivee du mot de passe P. 

Le protocole est le suivant : 
5 - A calcule KP et VP a l'aide des donnee N et P entrees par 

l'utilisateur. 

- A choisit un entier a entre 0 et q - 1 . 

- A calcule V A = g a mod p. 

- A envoie a B son nom (N) et E h(N ||KP)(V a). 
10 - B choisit un entier b entre 0 et q - 1 . 

- B calcule V B = g b mod p. 

- B dechiffre E h(N ||KP)(V A ) et obtient V A . 

- B calcule Ks = V A b mod p. 

- B envoie a A les deux messages suivants : 

15 - E h (N||KP) (V B ) 

- Fks(Fkp(D a )) 

- A dechiffre E h (Ni|KP)(V B ) et obtient V B . 

- A calcule Kg = V B a mod p. 

- A dechiffre Fks(Fkp(Pa)) et obtient Fkp(Da). 
20 - A dechiffre Fkp(D a ) et obtient D A . 

Le systeme de chiffrement F est un simple systeme de 
chiffrement sym6trique, utilisant par exemple ralgorithme standard AES. 
II peut aussi disposer un systeme de contr61e d'integrite (MAC) qui 
permet de verifier que le dechiffrement est correct et que les donn6es 

25 n'ont pas ete alterees. 

Le systeme de chiffrement symetrique E utilise doit Stre tel 

que : 

1. Si VP' est different de VP, le dechiffrement par VP" de 
EvpCV a) doit donner un autre element valide du groupe engendre par g ; 
30 autrement dit, l'utilisation d'un autre mot de passe que le bon doit donner 
une instance valide du probleme (mais bien sur cela ne debouche pas sur 
la bonne cle de session). 

Supposons que A est honnete mais est amene a negocier avec 
un attaquant C ayant pris la place de B. La premiere condition sur E 
35 protege A. En effet, quand C recoit Fvp(Va)> il peut "essayer" differents 
mots de passe P' et voir lesquels donnent des d6chiffrements "valides", 
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c'est-a-dire des elements du groupe engendr6 par g. Si la condition 1 
n'est pas respectee par E, alors cela donne un moyen a C de "tester" hors 
ligne les mots de passe de son dictionnaire. Apres quelques echanges de 
ce type, C obtiendrait suffisamment de criteres de tests pour trouver le 

5 mot de passe P dans son dictionnaire. 

2. Etant donne E w (g a mod p), le seul moyen de connaitre 
rentier a doit 6tre de l'avoir choisi prealablement. 

La deuxieme condition empeche un attaquant d'utiliser apres- 
coup une session ratee comme test pour une attaque par dictionnaire. 

10 Une possibility pour l'attaquant C (se faisant passer pour B) est de choisir 
arbitrairement lors de la negotiation de cle un mot de passe P" et 
d'envoyer Evp«(g b mod p). Ensuite, A utilise la cle de session K s (que C 
ne connait pas, sauf s'il a par hasard choisi le bon mot de passe) pour 
chiffrer un message a destination de C. Le but de C est d'utiliser ce 

15 message pour essayer des mots de passe ; pour chacun, note P 1 , C veut 
reconstituer le b' tel que E w <g b ' mod p) soit egal a la valeur qu'il a 
envoyee effectivement a A. Si C peut faire cela, alors C peut, pour 
chaque mot de passe P, calculer la cle de session K' correspondante, et 
verifier si elle dechiffre correctement le message envoye ensuite par A. 

20 Si c'est le cas, alors C a, a posteriori, retrouve le mot de passe P utilise 
par A lors de l'execution du protocole. Ceci constitue une attaque par 
dictionnaire hors ligne. La condition 2 sur le chiffrement E empeche 
justement que cette attaque soit possible. 

Un exemple de chiffrement E qui respecte ces conditions est le 

25 suivant : on possede une fonction de hachage H dont la sortie est un 
element du groupe engendre par g, et on definit E^CVa) comme la 
multiplication modulo p de V A par H(tc). 

Ce mode de realisation est fonde sur une technique generate 
appelee echange de cles chiffre ou encrypted key exchange (EKE) qui a 

30 ete decrite pour la premiere fois dans un article intitule "Encrypted Key 
Exchange : Password-Based Protocols Secure Against Dictionary 
Attacks", Steven M. Bellovin et Michael Merritt, in Proceedings of the 
IEEE Symposium on Security and Privacy, Oakland, California, May, 
1992, pp. 72-84. 

35 Elle evite toute attaque par dictionnaire hors-ligne, m6me dans 

le cas d'un adversaire pouvant intercepter et modifier les 
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communications, et elle ne necessite par ailleurs qu'un seul aller-retour 
reseau. 

Le client et le serveur utilisent VP = h(N||KP) comme unique 
donnee certaine predefinie connue du client et du serveur. La cle de 
5 session K n^gociee est utilised ensuite pour transmettre 
confidentiellement le paquet de donnees contenant D A du serveur vers le 
client. 

Ce protocole a les caracteristiques suivantes : 

- H n'y a qu'une seule passe : une requete du client, une 
10 reponse du serveur, et la connexion s'arrete. 

- Ni un faux client A parlant a un serveur B legitime, ni un 
faux serveur B n6gociant avec un client A legitime, ni un attaquant 
espionnant ou tentant de modifier une conversation entre un client A 
legitime et un serveur B legitime, n'apprennent quoi que ce soit 

15 permettant de monter une attaque par dictionnaire hors ligne, mdme 
partielle, sur le mot de passe P. 

- Le serveur B ne connait pas le mot de passe P (mais il 
connait de quoi faire une attaque par dictionnaire hors ligne : h(N||KP) et 
Fkp(Da)). 

20 - A la fin du protocole, si tous les dechiffrements se sont bien 

deroules, A a authentifie B, c'est-a-dire qu'il a l'assurance d'avoir parle a 
un serveur connaissant h(N||KP). 

- A la fin du protocole, B n'a aucune garantie explicite d'avoir 
parl6 avec le vrai client A ; en revanche, B sait que seul le vrai client A 

25 pourra tirer quoi que ce soit des donnees qu'il a envoyees, ce qui 
constitue une authentification implicite de A. Ainsi, le protocole offre 
une garantie d'anonymat au client et done une protection desirable 
lorsque les connexions de l'utilisateur au serveur de cle 3 relevent de sa 
vie privee. 

30 Le fait d'utiliser h(N||KP) au lieu de h(KP) est destine" a 

empecher B (au cas ou son systeme de stockage serait compromis par un 
attaquant) de mener une attaque par dictionnaire hors-ligne parallelement 
sur plusieurs mots de passes appartenant a des utilisateurs distincts. 

L'application d'inscription et l'application de session peuvent 

35 etre realisees sous forme de logiciels independants ou sous forme de 
fonctionnalites distinctes d'un unique logiciel. II est particulierement 
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avantageux de programmer Papplication de session et l'application 
d'inscription a Paide du systeme de programmation Java® de Sun 
Microsystems® car il permet d'obtenir un logiciel, sous une forme 
binaire et compilee, qui peut fonctionner quelle que soit rarchitecture du 
5 dispositif d'interface qui Pexecute. On obtient done des applications de 
session et d'inscription portables, particulierement adaptees a une 
diffusion par telechargement. De plus, ce systeme de programmation est 
disponible pour toutes les architectures majeures et tres souvent deja 
installe dans les programmes de butinage. II contient les verificateurs 

10 semantiques n6cessaires qui permettent au dispositif d'interface qui 
Pexecute de s'assurer qu'aucune operation interdite n'est effectuee, de 
sorte que P execution des applications ainsi obtenues est sure. 

Selon ce mode de r6alisation, l'application de session et 
Papplication d'inscription sont ex6cutables par tout dispositif d'interface 

15 ayant un acces generique et standard au reseau 1, sans necessiter d'acces 
particulier aux ressources du dispositif d'interface, a part ce que le 
systeme de programmation Java® fournit, comme Pinterface graphique 
et Pacces au reseau 1 . 

De maniere alternative, Papplication de session peut aussi etre 

20 implantee sous une forme materielle et/ou logicielle specifique dans un 
type particulier de dispositif d'interface, par exemple dans un modele de 
telephone cellulaire qui sort d'usine avec Papplication de session pre- 
installee. 

On decrit maintenant plusieurs exemples de Petape 46 en 
25 reference aux figures 4 a 6. Sur ces figures, la liaison 54 represente a la 
fois la connexion du dispositif d'interface 50 au reseau 1 et le reseau 1 
lui-m&ne ou une partie du reseau 1 . Seul un serveur de contenu 2a, 2b 
ou 2c est represents a chaque fois car le serveur de cl6s 3 n'intervient 
plus. Cependant, on suppose toujours qu'il peut y avoir plusieurs 
30 serveurs de contenu et que le dispositif d'interface 50 est apte a 
communiquer avec le serveur de cl6s 3, pour pouvoir effectuer les etapes 
30 a 44, qui ne seront pas decrites a nouveau. 

En reference a la figure 4, le serveur de contenu 2a offre un 
service de banque de donnees personnelles a Putilisateur. Par exemple, 
35 une telle banque de donnees peut etre creee avec des logiciels connus 
sous les noms commerciaux Apache® ou Tomcat®. 
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Un compte d'utilisateur 52 est reserve dans les moyens de 
stockage du serveur de contenu 2a, par exemple sur un disque dur ou un 
disque optique. Ce compte contient des fichiers personnels de 
l'utilisateur 56, qui sont organis6s en une structure hierarchique. Chaque 

5 fichier a 6t6 depos6 par 1'utilisateur sous une forme chiffree au moyen de 
la cle symetrique KS, et ce chiffrement comprend un moyen de contrdle 
d'integrite des fichiers derive de cette mSme cle. Le serveur de contenu 
2a traite ces fichiers comme des suites d'octets sans signification, hormis 
pour ce qui concerne les meta-donnees associ6es (noms et organisation 

10 des fichiers). Le serveur de contenu 2a fournit une interface d'acces sous 
la forme d'un site sur la Toile executable depuis le dispositif d'interface 
50, qui prend ici la forme d'un micro-ordinateur generique muni d'un 
programme de butinage ou de navigation classique, comme ceux 
proposes par les societes Netscape® ou Microsoft®. 

15 A l'etape 46, dans cet exemple, Papplication de session met 

les donnees personnelles cryptographiques A, KR, KS dans un format et 
a un emplacement memoire adapte pour que le programme de butinage 
puisse les lire et les utiliser. A l'aide du programme de navigation, 
l'utilisateur affiche a l'ecran l'interface d'acces au serveur de contenu 

20 2a. Une communication au format standard HTTP est alors etablie entre 
le dispositif d'interface 50 et le serveur de contenu 2a, en utilisant le 
certificat A et la cle privee correspondante KR de l'utilisateur pour 
securiser cette communication par un protocole SSL, tel qu'il a ete decrit 
a P6tape 22. De preference, le protocole SSL est utilisee de maniere bi- 

25 authentifiee, comme decrit a l'6tape 22. Ainsi, le dispositif d'interface 50 
et le serveur de contenu 2a se sont mutuellement authentifies, leurs 
echanges ulterieurs sont confidentiels, et l'integrite des donnees 
transferees peut 6tre controlee. 

L'interface d'acces au serveur de contenu 2a permet a 

30 l'utilisateur de connaitre le contenu et la structure de son compte 52, de 
lire un fichier du compte 52, d'ecrire un fichier dans le compte 52, et de 
deplacer ou effacer un fichier. Pour cela, le dispositif d'interface 50 
envoie des requeues correspondantes 58, selon la technique connue. Ces 
requetes ne sont traitees par le serveur de contenu 2a qu'apres 

35 l'authentification de l'utilisateur au moyen du certificat A, de sorte que 
les fichiers 56 ne peuvent etre lus ou alteres par un tiers. Un tiers ne peut 
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meme pas connaitre 1' existence de ces fichiers ou les meta-donnees 
associees, telles que les noms des fichiers. 

Pour stacker un fichier dans le compte 52, Putilisateur entre ce 
fichier dans le dispositif d'interface 50, par exemple en cr6ant le fichier 
5 depuis un logiciel de traitement de texte, ou en lisant le fichier depuis un 
support magnetique optique ou autre. Le programme de butinage 
effectue ensuite un chiffrement symetrique du fichier a l'aide de la cle 
KS, et envoie le fichier ainsi chiffre dans la requete 58 d'ecriture. Le 
fichier est stocke a 1' emplacement desire par le serveur de contenu 2a. Le 
10 serveur de contenu 2a ne possedant pas la cle KS, le contenu des fichiers 
56 ainsi stock6s est parfaitement secret vis-a-vis du serveur de contenu 
2a. 

Pour lire un fichier dans le compte 52, l'utilisateur designe ce 
fichier par son nom. Le programme de butinage envoie une requ6te 58 de 

15 lecture comprenant ce nom au serveur de contenu 2a. Le serveur de 
contenu 2a envoie au dispositif d'interface 50 une reponse 60 contenant 
le fichier correspondant chiffre par la cl6 KS. Le programme de butinage 
effectue ensuite un dechiffrement symetrique du fichier a l'aide de la cle 
KS. Du fait du chiffrement par la cle KS, le sur-chiffrement assure par le 

20 protocole SSL au moyen d'une cle temporaire KT n'est pas 
indispensable pour garantir la confidentiality des fichiers 56. Cependant, 
ce sur-chiffrement garantie l'authenticite du serveur et de l'utilisateur 
tout au long des echanges, ce qui empeche qu'un faux serveur trompe 
l'utilisateur quant au contenu de son compte ou qu'un faux utilisateur 

25 n'altere le contenu du compte 52. 

L'utilisateur peut stocker sur le compte 52 toutes sortes de 
donn6es personnelles, dans des format graphiques, audio, video, texte, 
etc. Par exemple, le compte 52 contient le carnet d'adresses 
electroniques de l'utilisateur et ses dossiers de courriers electroniques 

30 archives. Le compte 52 peut aussi contenir d'autres cles 
cryptographiques de l'utilisateur. Toutes ces donnees sont conservees de 
maniere confidentielles a cause de leur chiffrement et restent accessibles 
depuis tout dispositif d'interface muni de Papplication de session et 
d'une application d'acces adaptee, c'est-a-dire par exemple d'un 

35 programme de butinage. De plus, le serveur 2a peut assurer de maniere 
tres sure la durability des fichiers 56, en effectuant des copies de 
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sauvegarde qui, du fait du chiffrement fort des fichiers 56, n'entrainent 
aucun risque intrinseque. 

L'application de session et Papplication d'inscription peuvent 
etre realisees sous la forme d'un ou plusieurs modules logiciels 

5 d'extension, encore appeles Plug-in, pour un programme de butinage, 
par exemple pour le logiciel Netscape Communicator®. Dans ce cas, 
l'application de session ou l'application d'inscription pourra etre lancee 
par une instruction depuis Pinterface du programme de butinage et sera 
automatiquement fermee lorsque le programme de butinage sera ferme. 

1 o De maniere alternative, l'application de session et l'application 

d'inscription peuvent etre integrees a un programme specifique assurant 
les fonctions d'acces au serveur 2a. 

En reference a la figure 5, on decrit un autre exemple de 
l'etape 46, dans lequel le service offert est un service de courrier 

15 electronique securise. Le serveur 2b est un serveur de courrier 
electronique pouvant communiquer avec le dispositif d'interface 50 de 
maniere connue en soi, par exemple selon les protocoles SMTP 
(acronyme pour l'anglais : Simple Mail Transfer Protocol) EVIAP 
(acronyme pour l'anglais : Internet Message Access Protocol) ou POP 

20 (acronyme pour l'anglais : Post Office Protocol). A l'etape 46, dans cet 
exemple, l'application de session met les donnees personnelles 
cryptographiques A, KR, KS dans un format et a un emplacement 
memoire adapte pour qu'un programme client de gestion de courrier 
electronique s6curise puisse les lire et les utiliser. 

25 II existe des programmes clients de gestion de courrier 

61ectronique qui sont securises, c'est-a-dire qu'ils comportent un module 
cryptographique pour remplir des fonctions de protection, et pour 
lesquels le stockage des elements cryptographiques est parametrable au 
moyen de modules logiciels d'extension. Des exemples connus sont 

30 Outlook Express® de Microsoft® et Netscape Communicator® de 
Netscape®, dans lequel les operations de chiffrement et de signature 
electronique sont effectuees selon le format S/MIME. 

L'application de session et/ou l'application d'inscription peut 
prendre la forme d'un module d'extension pour un tel programme. 

35 L'application de session permet ainsi de reconfigurer rapidement le 
module cryptographique du programme client avec les donnees 
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cryptographiques personnelles de l'utilisateur. L'interet des modules 
logiciels d' extension pour ces programmes largement diffuses est de leur 
aj outer les caracteristiques de 1' application d'inscription et/ou de 
1' application de session sans obliger les utilisateurs a apprendre le 

5 fonctionnement d'un nouveau logiciel. 

Le programme client de gestion de courrier electronique 
securise assure plusieurs fonctions. Une fonction d' envoi de courrier 
chiffre comporte les operations consistant a recevoir un message entre 
par l'utilisateur sur le dispositif d'interface 50, d6signer un destinataire 

10 du message, selectionner la cle publique de ce destinataire pour chiffrer 
le message et/ou signer le message avec la cl6 privee KR et envoyer le 
message chiffre et/ou signe au serveur 2b, comme indique par la fleche 
66. Le message sera alors transmis via le reseau 1 au serveur de courrier 
electronique 62 du destinataire et le destinataire pourra consulter le 

15 message depuis son propre micro-ordinateur 64 equipee d'un programme 
client approprie. Une fonction de reception de courrier electronique 
chiffre comprend les operations consistant a recevoir un message chiffre 
depuis le serveur 2b, comme indique par la fleche 68, dechiffrer le 
message avec la cle privee KR et/ou verifier la signature du message 

20 avec la cle publique de l'expSditeur, et presenter le contenu du message a 
Futilisateur. 

En reference a la figure 6, on decrit un autre exemple de 
l'efape 46, dans lequel le service offert est un service de diffusion 
t616visee numerique. Le serveur 2c est un serveur de television 

25 numerique d'un fournisseur aupres duquel l'utilisateur est abonne. 
L'utilisateur utilise un dispositif d'interface 50 qui prend la forme d'un 
decodeur 70 pour television muni d'une telecommande 72. 

A l'etape 46, l'application de session est executee par le 
decodeur 70 pour effectuer une authentification mutuelle entre 

30 l'utilisateur et le serveur 2c a l'aide du certificat A, comme il a ete 
explique en reference a l'etape 22. Puis l'utilisateur selectionne un 
programme televise au moyen de la telecommande 72. Le decodeur 70 
transmet une requete de lecture correspondante 74 au serveur 2c. Apres 
avoir verifie que le programme tel6vis6 demand^ est autorise par 

35 l'abonnement de l'utilisateur, le serveur 2c envoie au decodeur 70 un 
flux de donnees audio-video correspondant 76, chiffre symetriquement 
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de maniere a 6tre dechifrre par le decodeur 70 au moyen de la cle KS ou 
d'une cle temporaire KT. Par exemple, la cle KS peut avoir ete attribuee 
confidentiellement a l'utilisateur par le fournisseur lors des formalites 
d'abonnement ou avoir ete transmise par le decodeur 70 au serveur 2c 

5 apres rauthentification mutuelle. 

Bien que l'invention ait 6te decrite en liaison avec plusieurs 
modes de realisation particuliers, il est bien evident qu'elle n'y est 
nullement limit6e et qu'elle comprend tous les equivalents techniques des 
moyens decrits ainsi que leurs combinaisons si celles-ci entrent dans le 

10 cadre de l'invention. En particulier, l'homme du metier remarquera que 
l'ordre d'execution des etapes dans les modes de realisations decrits peut 
6tre modifie selon de nombreuses variantes aboutissant essentiellement 
au meme resultat et ne sortant pas du cadre de l'invention. 
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REVENDICATIONS 

1. Procede pour echanger de maniere protegee des 
donnees de contenu en ligne, comportant les etapes consistant a : 
recevoir (32) un code entre par un utilisateur dans un dispositif 

5 d'interface (4a-c , 50) relie a un premier dispositif serveur (3) par au 
moins un reseau de transport de donnees (1, 54), 

envoyer (36) une requete de lecture depuis ledit dispositif d'interface 
audit premier dispositif serveur dans lequel sont stock6es des donnees 
personnelles cryptographiques respectives d'une pluralite d'utilisateurs, 
10 lesdites donnees personnelles cryptographiques de chaque utilisateur 
etant chiflfrees au moyen d'un code authentique respectif dudit 
utilisateur, 

recevoir (42) les donnees personnelles cryptographiques chiffrees dudit 
utilisateur dans ledit dispositif d'interface, 
1 5 dechiffrer (44) lesdites donn6es personnelles cryptographiques au moyen 
dudit code entre lorsque ledit code entre correspond audit code 
authentique de 1 'utilisateur, 

caracterise par le fait qu'il comporte les etapes consistant a : 
utiliser (46) lesdites donnees personnelles cryptographiques pour 
20 proteger un echange de donnees de contenu (58, 60, 66, 68, 76) entre 
ledit dispositif d'interface et au moins un deuxieme dispositif serveur 
(2a-c) relie audit dispositif d'interface par au moins un reseau de 
transport de donn6es, 

supprimer (48) ledit code entre et lesdites donnees cryptographiques 
25 personnelles dudit dispositif d'interface. 

2. Procede selon la revendication 1, caracterise par le 
fait que ledit dispositif d'interface et ledit premier dispositif serveur 
etablissent un canal de communication confidentiel entre eux par mise en 
commun d'au moins une cle de chiffrement (Ks) presentant une grande 

30 entropie par rapport audit code authentique de l'utilisateur, lesdites 
donnees personnelles cryptographiques chiffrees (Fkp(Da)) etant 
transmises audit dispositif d'interface par ledit canal de communication 
confidentiel. 

3. Procede selon la revendication 1 ou 2, caracterise par 
35 le fait qu'au moins une donnee personnelle de verification de code (VP) 

qui d6rive dudit code authentique de l'utilisateur (P) selon une fonction 
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deterrniniste (h(N//.)) est stockee dans ledit premier dispositif serveur et 
que ledit premier dispositif serveur authentifie explicitement ou 
implicitement le dispositif d'interface a l'aide de ladite donnee 
personnelle de verification de code. 
5 4. Proced6 selon la revindication 3, caracterise par le 

fait que ladite fonction deterrniniste est une fonction non inversible 
resistante aux collisions. 

5 . Procede selon la revendication 2 prise en combinaison 
avec la revendication 3 ou 4, caracterise par le fait que ledit dispositif 

10 d'interface et ledit premier dispositif serveur realisent simultanement la 
mise en commun de ladite au moins une cle de chiffrement et 
l'authentification explicite ou implicite dudit dispositif d'interface par 
ledit premier dispositif serveur en utilisant un protocole de type 
Password-Based-Key-Exchange (echange de cle base sur un mot de 

15 passe) PBKE. 

6. Procede selon la revendication 5, caracteris6 par le 
fait que ledit protocole de type Password-Based-Key-Exchange inclut 
une seule communication dans chaque sens entre ledit dispositif 
d'interface et ledit premier dispositif serveur, ladite communication 

20 depuis le premier dispositif serveur vers le dispositif d'interface incluant 
la transmission des donnees personnelles cryptographiques chiffrees. 

7. Procede selon Tune des revendications 4 a 6, 
caracteris6 par le fait que ledit dispositif d'interface choisit un premier 
entier (a) correspondant a un premier element (g a mod p) d'un groupe 

25 predeflni et ledit premier dispositif serveur choisit un deuxieme entier 
(b) correspondant a un deuxieme element (g b mod p) dudit groupe, puis 
ledit dispositif d'interface et ledit premier dispositif serveur se 
transmettent mutuellement lesdits premier et deuxieme elements, ledit 
dispositif d'interface et ledit premier dispositif serveur produisant 

30 chacun ladite au moins une cle de chiffrement (Ks) par combinaison de 
l'entier choisi par lui-menie et de l'el6ment recu par lui-meme, ledit 
premier element du groupe etant transmis audit premier dispositif 
serveur sous une forme chiffree au moyen d'une trace discriminate 
(VP) qui derive dudit code entre par l'utilisateur dans le dispositif 

35 d'interface selon ladite fonction deterrniniste, ledit premier element du 
groupe etant dechiffre par ledit premier dispositif serveur au moyen de 
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ladite donnee personnelle de verification de code (VP), ledit deuxieme 
element du groupe etant transmis audit dispositif d'interface sous une 
forme symetriquement chiffree au moyen de ladite donn6e personnelle 
de verification de code, ledit deuxieme element du groupe etant dechiffre 
5 par ledit dispositif d'interface au moyen de ladite trace discriminante. 

8. Proced6 selon la revendication 7, caracterise par le 
fait que lesdits premier et deuxieme elements du groupe sont chiffrSs 
avec un protocole de chiffrement symetrique (E) qui est choisi de 
maniere qu'une tentative de dechifrrement d'un desdits. elements du 

10 groupe selon ledit protocole produise toujours un element dudit groupe, 
quelle que soit la donnee utilis6e dans ladite tentative. 

9. Proced6 selon l'une des revendications 7 ou 8, 
caracterise par le fait que lesdits premier et deuxieme elements du 
groupe sont chiffn§s avec un protocole de chiffrement symetrique (E) qui 

15 est choisi de maniere que ledit entier ne puisse pas 6tre obtenu a partir de 
l'61ement du groupe correspondant chiffre. 

10. Proced6 selon l'une des revendications 7 a 9, 
caracterise par le fait que ledit premier element du groupe, 
respectivement ledit deuxieme el6ment du groupe, est chiffre avec un 

20 protocole de chiffrement symetrique (E) qui comprend l'etape consistant 
a composer ledit element par une loi de composition dudit groupe avec 
l'image de ladite trace discriminante, respectivement l'image de ladite 
donn6e personnelle de verification de code, par une fonction a valeurs 
dans ledit groupe. 

25 11. Procede selon l'une des revendications 1 a 10, 

caracterise par le fait que ladite etape d'utilisation comprend l'etape 
consistant a : 

authentifler ledit utilisateur aupres dudit au moins un deuxieme dispositif 
serveur au moyen de donnees d'authentiflcation dudit utilisateur incluses 
30 dans lesdites donnees cryptographiques personnelles. 

12. Procede selon l'une des revendications 1 a 11, 
caracterise par le fait que ladite etape d'utilisation comprend les etapes 
consistant a : 

recevoir des donnees de contenu entrees par ledit utilisateur dans ledit 
35 dispositif d'interface, 

chiffrer lesdites donnees de contenu au moyen d'au moins une cl6 de 
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chiffrement incluse dans lesdites donnees cryptographiques personnelles, 
envoyer lesdites donnees de contenu chiffrees (58, 66) audit au moins un 
deuxieme dispositif serveur (2a-b) pour stocker lesdites donnees de 
contenu chiffrees dans ledit deuxieme dispositif serveur et/ou les 
5 transmettre a un destinataire. 

13. Proc6de selon l'une des revendications 1 a 12, 
caracteris6 par le fait que ladite etape d'utilisation comprend les etapes 
consistant a : 

envoyer une deuxieme requete de lecture . designant des donnees de 
10 contenu depuis ledit dispositif d'interface audit au moins un deuxieme 
dispositif serveur (2a), 

recevoir lesdites donnees de contenu chiffrees (60) depuis ledit au moins 
un deuxieme dispositif serveur dans ledit dispositif d'interface, 
dechiffrer lesdites donnees de contenu au moyen d'au moins une cl6 de 
15 dechiffrement incluse dans lesdites donnees personnelles 
cryptographiques. 

14. Precede selon l'une des revendications 1 a 13, 
caracterise par le fait qu'il comporte l'etape consistant a : 

imposer (38) un delai minimum predetermine entre le traitement de deux 
20 occurrences successives de ladite premiere requete de lecture au niveau 
du premier dispositif serveur, sous peine de ne pas tenir compte de 
Poccurrence la plus tardive. 

15. Procede selon l'une des revendications 1 a 14, 
caracterise par le fait qu'il comporte une etape consistant a : 

25 surveiller systematiquement (8) les communications impliquant ledit 
premier dispositif serveur (3). 

16. Procede selon l'une des revendications 1 a 15, 
caracterise par le fait qu'il comporte l'etape consistant a : 

controler l'integrite des donnees personnelles cryptographiques recues 
30 depuis ledit premier dispositif serveur au moyen de donnees de contrdle 
d'integrite jointes auxdites donnees personnelles cryptographiques 
recues depuis ledit premier dispositif serveur. 

17. Procede selon l'une des revendications 1 a 16, 
caracterise par le fait qu'il comporte une etape d'inscription consistant 

35 a : 

mettre a disposition (11, 12) des donnees personnelles cryptographiques 
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dans ledit dispositif d'interface, 

recevoir (14) un code authentique entre par ledit utilisateur dans ledit 
dispositif d'interface, 

chiffrer (20) lesdites donnees personnelles cryptographiques au moyen 

5 dudit code authentique, 

envoyer (24) lesdites donnees personnelles cryptographiques chiffrees 
depuis ledit dispositif d'interface audit premier dispositif serveur pour 
stocker lesdites donnees personnelles cryptographiques chiffrees dans 
ledit premier dispositif serveur, 

10 supprimer (28) lesdites donnees personnelles cryptographiques et ledit 
code authentique dudit dispositif d'interface. 

18. Procede selon la revendication 17, caracterise par le 
fait que l'etape d'inscription comporte les etapes consistant a : 
former (18) des donnees personnelles de verification de code a partir 

15 dudit code authentique, 

envoyer (24) lesdites donnees personnelles de verification de code 
depuis ledit dispositif d'interface audit premier dispositif serveur pour 
stocker lesdites donnees personnelles de verification de code dans ledit 
premier dispositif serveur. 

20 19. Procede selon la revendication 17 ou 18, caracterise 

par le fait qu'il comporte une etape consistant a : 

rejeter (14) ledit code authentique entr6 par l'utilisateur lorsque ledit 
code remplit des criteres d'evidence preaefmis. 

20. Dispositif d'interface (4a-c, 50) pour echanger de 

25 maniere protegee des donnees de contenu en ligne, comportant : 
un moyen pour recevoir (32) un code entre par un utilisateur, 
un moyen pour envoyer (36) une premiere requeue de lecture depuis ledit 
dispositif d'interface a un premier dispositif serveur (3) dans lequel sont 
stock6es des donnees personnelles cryptographiques respectives d'une 

30 pluralite d'utilisateurs, lesdites donnees personnelles cryptographiques 
de chaque utilisateur etant chiffrees au moyen d'un code authentique 
respectif dudit utilisateur, 

un moyen pour recevoir (42) les donnees personnelles cryptographiques 
chiffrees dudit utilisateur, 
35 un moyen pour dechiffrer (44) lesdites donnees personnelles 
cryptographiques au moyen dudit code entre lorsque ledit code entre 
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correspond audit code authentique de 1 'utilisateur, 
caracterise par : 

des moyens pour utiliser (46) lesdites donnees personnelles 
cryptographiques afin de proteger un echange de donnees de contenu 
5 (58, 60, 66, 68, 76) entre ledit dispositif d'interface et au moins un 
deuxieme dispositif serveur (2a-c), 

un moyen pour supprimer (48) ledit code et lesdites donnees 
cryptographiques personnelles dudit dispositif d'interface. 

21. Dispositif selon la revendication 20, caracterise par le 

10 fait qu'il consiste en un programme de gestion de courrier 61ectronique, 
lesdits moyens d'utilisation des donnees personnelles cryptographiques 
comprenant un module cryptographique pour signer, chiffrer et/ou 
dechiffrer des courriers electroniques a l'aide d'au moins certaines 
desdites donnees cryptographiques personnelles. 

15 22. Dispositif selon la revendication 20, caracterise par le 

fait qu'il consiste en un module d'extension adapte a un programme de 
gestion de courrier electronique comprenant un module cryptographique 
pour signer, chiffrer et dechiffrer des courriers 61ectroniques, lesdits 
moyens d'utilisation des donnees personnelles cryptographiques 

20 comprenant un moyen pour fournir audit module cryptographique au 
moins certaines desdites donnees cryptographiques personnelles. 

23. Dispositif d'interface d'inscription (4a-c, 50), 
caracterise par le fait qu'il comporte : 

un moyen pour mettre a disposition (11, 12) des donnees personnelles 
25 cryptographiques dans ledit dispositif d'interface, 

un moyen (6) pour recevoir (14) un code authentique entre par ledit 
Utilisateur dans ledit dispositif d'interface, 

un moyen pour chiffrer (20) lesdites donn6es personnelles 
cryptographiques au moyen dudit code authentique, 

30 un moyen pour envoyer (24) lesdites donnees personnelles 
cryptographiques chiffrees depuis ledit dispositif d'interface a un 
premier dispositif serveur (3) pour stocker lesdites donnees personnelles 
cryptographiques chiffrees dans ledit premier dispositif serveur, dans 
lequel sont stockees des donnees personnelles cryptographiques 

35 respectives d'une pluralite d'utilisateurs, lesdites donnees personnelles 
cryptographiques de chaque utilisateur etant chiffrees au moyen d'un 
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code authentique respectif dudit utilisateur, 

un moyen pour supprimer (28) lesdites donnees personnelles 
cryptographiques et ledit code authentique dudit dispositif d'interface. 
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